Anda di halaman 1dari 67

FECHA EMISIN INFORME

PLAN DE TRATAMIENTO DE RIESGO


25/06/2012

ID CONTROL CONTROL ESTADO INICIAL ESTADO DESTINO ACCIONES REQUERIDAS


Debera establecer el compromiso de la
gerencia y el enfoque de la organizacin
para gestionar la seguridad de la
informacin. El documento debera contener
como mnimo la siguiente informacin:
a) una definicin de seguridad de la
informacin y sus objetivos globales, el
alcance de la seguridad y su importancia
como mecanismo que permite compartir la
informacin (vase el captulo de
Introduccin);
b) el establecimiento del objetivo de la
Documento de Poltica de Seguridad de la Informacin gerencia como soporte de los objetivos y
5.1.1 DEFINIDO GESTIONADO
principios de la seguridad de la informacin;
c) un marco para colocar los objetivos de
control y mandos, incluyendo la estructura
de evaluacin de riesgo y gestin del riesgo;
d) una breve explicacin de las polticas,
principios, normas y requisitos de
conformidad ms importantes para la
organizacin

La poltica debera tener un propietario que


sea responsable del desarrollo, revisin y
evaluacin de la poltica de seguridad. La
revisin debe incluir oportunidades de
evaluacin para mejorar la poltica de
5.1.2 Revisin de la poltica de seguridad de la informacin INICIADO GESTIONADO seguridad de informacin de la organizacin
y un acercamiento a la gestin de seguridad
de informacin en respuesta a los cambios
del ambiente organizacional, circunstancias
del negocio, condiciones

1 de 67
ID CONTROL CONTROL ESTADO INICIAL ESTADO DESTINO ACCIONES REQUERIDAS
legales o cambios en el ambiente tcnico. La
revisin de la poltica de seguridad de
informacin debe tomar en cuenta los
resultados de las revisiones de la gestin.
Deben existir procedimientos
GESTIONADOs de la gestin de revisin,
incluyendo un calendario o periodo de
revisin.
Este comit debera realizar las siguientes
funciones:
a) asegurar que las metas de la seguridad
de informacin sean identificadas,
relacionarlas con las exigencias
organizacionales y que sean integradas en
procesos relevantes;
b) formular, revisar y aprobar la poltica de
seguridad de informacin;
6.1.1 Comite de gestin de la seguridad de la informacin GESTIONADO GESTIONADO
c) revisin de la efectividad en la
implementacin de la poltica de
informacin;
d) proveer direcciones claras y un visible
apoyo en la gestin para iniciativas de
seguridad;
e) proveer los recursos necesarios para la
seguridad de informacin;

Comnmente, la coordinacin de la
seguridad de informacin debe implicar la
cooperacin y la colaboracin de gerentes,
usuarios, administradores, diseadores de la
aplicacin, personal de auditoria y
seguridad, y habilidades especiales en reas
como seguros, tramites legales, recursos
humanos, tecnologa de la informacin o
gestin del riesgo. Esta actividad debe:
6.1.2 Coordinacin de la seguridad de la informacin DEFINIDO GESTIONADO
a) asegurar que las actividades de seguridad
sean ejecutadas en cumplimiento con la
poltica de seguridad;
b) identificar como manejar los no
cumplimientos;
c) aprobar metodologas y procesos para
seguridad de informacin.

2 de 67
ID CONTROL CONTROL ESTADO INICIAL ESTADO DESTINO ACCIONES REQUERIDAS

d) identificar cambios significativos de


amenazas y exposicin de informacin;
e) evala la adecuacin y coordina la
implantacin de los controles de seguridad
de la informacin;

Es esencial que se establezcan claramente


las reas de las que cada directivo es
responsable;
en particular deberan establecerse las
siguientes:
a) deberan identificarse claramente los
activos y los procesos de seguridad
Asignacin de las responsabilidades sobre Seguridad de la
6.1.3 GESTIONADO GESTIONADO asociados con cada sistema especfico;
Informacin
b) debera nombrarse al responsable de
cada activo o proceso de seguridad, y
deberan documentarse los detalles de esta
responsabilidad;
c) deberan definirse y documentarse
claramente los niveles de autorizacin.

a) los nuevos medios deberan tener la


aprobacin adecuada de la gerencia
usuaria, autorizando su propsito y uso.
Tambin debera obtenerse la aprobacin
del directivo responsable del mantenimiento
del entorno de seguridad del sistema de
informacin local, asegurando que cumple
con todas las polticas y requisitos de
seguridad correspondientes;
Proceso de autorizacin de recursos para el tratamiento de b) dnde sea necesario, se debera
6.1.4 DEFINIDO GESTIONADO
la informacin comprobar que el hardware y el software
son compatibles con los dems dispositivos
del sistema;
c) debera autorizarse y evaluarse el uso de
medios informticos personales, como

3 de 67
ID CONTROL CONTROL ESTADO INICIAL ESTADO DESTINO ACCIONES REQUERIDAS
laptops o aparatos mviles, para el
tratamiento de la informacin de la
organizacin as como los controles
necesarios, ya que pueden introducir nuevas
vulnerabilidades.

Confidencialidad o acuerdos de no
divulgacin deben anexar los requerimientos
para proteger informacin confidencial
usando trminos ejecutables legales. Para
identificar requerimientos de
confidencialidad o acuerdos de no
divulgacin, se deben considerar los
siguientes elementos:
a) una definicin de la informacin a ser
protegida;
b) duracin esperada del acuerdo,
incluyendo casos donde la confidencialidad
pueda necesitar ser mantenida
indefinidamente;
c) acciones requeridas cuando un acuerdo
sea finalizado;
d) propiedad de la informacin, secretos del
comercio y de la propiedad intelectual, y
6.1.5 Acuerdos de confidencialidad DEFINIDO GESTIONADO cmo esto se relaciona con la proteccin de
la informacin confidencial;
e) la permisin de utilizar informacin
confidencial y los derechos del signatario
para usar la informacin;
g) el derecho de auditar y monitorear
actividades que impliquen informacin
confidencial;
h) procesos para notificar y reportar acceso
desautorizado a aberturas de
informacin confidencial;
i) trminos para que la informacin sea
retornada o destruida en la cesacin del
acuerdo; y
j) acciones prevista que se tomar en caso
de una abertura de este acuerdo.

4 de 67
ID CONTROL CONTROL ESTADO INICIAL ESTADO DESTINO ACCIONES REQUERIDAS
EL OSIPTEL debe de tener procedimientos
instalados que especifiquen cuando y por
que autoridades deben ser contactados y
como los incidentes identificados en la
seguridad de informacin deben ser
reportados de una manera oportuna si se
sospecha que las leyes han sido rotas.
6.1.6 Contacto con las autoridades DEFINIDO GESTIONADO Las organizaciones bajo ataque desde el
Internet pueden necesitar de terceros
(proveedor del servicio de Internet u
operadores de telecomunicaciones) para
tomar accin contra la fuente de ataque.

Deben mantenerse contactos apropiados


con grupos de inters especial u otros
especialistas en foros de seguridad y
6.1.7 Contacto con grupos de inters especial DEFINIDO GESTIONADO
asociaciones profesionales.

La revisin independiente debe ser


DEFINIDO por la gerencia. Esta revisin
independiente es necesaria para asegurar la
continua conveniencia, suficiencia y eficacia
del alcance de la organizacin hacia la
gestin de informacin de seguridad. La
revisin debe incluir oportunidades de
evaluacin para mejorar y la necesidad de
cambios para el acercamiento a la
seguridad, incluyendo la poltica y los
objetivos de control.
Revisin independiente de la Seguridad de la Informacin
6.1.8 DEFINIDO GESTIONADO Esta revisin debe ser llevado a acabo por
individuos independientemente del rea bajo
revisin. Los individuos que llevan a cabo
estas revisiones deben de tener las
habilidades y la experiencia apropiada.
Los resultados de la revisin independiente
deben ser registrados y reportados a la
gerencia que inicio la revisin. Estos
registros deben mantenerse.

5 de 67
ID CONTROL CONTROL ESTADO INICIAL ESTADO DESTINO ACCIONES REQUERIDAS
Cuando es necesario permitir el acceso a las
instalaciones del procesamiento de
informacin o a la informacin de una
organizacin a un tercero, una evaluacin el
riesgo debe ser llevada a cabo para
identificar cualquier requisito para controles
especficos. La identificacin de los riesgos
relacionados con el acceso a terceros debe
de tomar en cuenta los siguientes puntos:
a) Las instalaciones del procesamiento de la
informacin a la que terceros requieren
acceso;
b) El tipo de acceso que terceros tendrn a
la informacin y a las instalaciones del
procesamiento de infamacin:
1) acceso fsico, por ejemplo oficinas
o salas de ordenadores;
2) acceso lgico, por ejemplo la
base de datos de la organizacin o
sistemas de informacin;
3) conectividad de red entre la
organizacin y terceros, por ejemplo la
6.2.1 Identificacin de riesgos relativos a partes externas DEFINIDO GESTIONADO
conexin permanente o acceso
remoto;
4) si el acceso esta ocurriendo en el
sitio o fuera de el;
c) el valor y la sensibilidad de la informacin
implicada, y es critico para operaciones de
negocios;
d) los controles necesarios para proteger la
informacin que no debe ser accesible
a terceros;
e) los diferentes significados y controles
empleados por terceros cuando guarde,
procese, comunique, comparta e
intercambia informacin;
f) el impacto del acceso no disponible a
terceros cuando sea requerido, y de
terceros ingresando o recibiendo
informacin inexacta o engaosa;

6 de 67
ID CONTROL CONTROL ESTADO INICIAL ESTADO DESTINO ACCIONES REQUERIDAS
g) practicas y procedimientos para lidiar con
incidentes y daos potenciales en la
seguridad de informacin, y los trminos y
condiciones para continuar con el acceso a
terceros en el caso de un incidente en la
seguridad de informacin;
h) requisitos legales y regulatorios u otras
obligaciones contractuales relevantes a
terceros que deben ser tomadas en cuenta;
i) como los intereses de las partes
interesadas pueden ser afectados por los
acuerdos.

Los siguientes trminos deben ser


considerados para ser anexados a la
seguridad antes de dar a los clientes acceso
a los activos de seguridad (dependiendo del
tipo y la extensin del acceso dado, no todos
se aplican):
a) proteccin de activos, incluyendo:
1) procedimientos para proteger los
activos de la organizacin, incluida la
informacin y el software;
2) procedimientos para determinar si
ha ocurrido algn incremento del
riesgo de los activos, por ejemplo,
Direccionamiento de la seguridad en el trato con los clientes una prdida o modificacin de datos;
6.2.2 INEXISTENTE GESTIONADO
3) medidas de integridad;
4) restricciones en la copia o
divulgacin de la informacin;
b) la descripcin del servicio o producto
disponible;
c) las diferentes razones, requerimientos y
beneficios para el acceso del cliente;
d) acuerdos sobre control de accesos,
incluyendo:
1) los mtodos de acceso
permitidos, as como el control y uso de
identificadores nicos, como nmero
de identificacin ID y contraseas;

7 de 67
ID CONTROL CONTROL ESTADO INICIAL ESTADO DESTINO ACCIONES REQUERIDAS
2) el procedimiento de autorizacin
del acceso y privilegios a los usuarios;
3) una declaracin de que todo
acceso que no esta explcitamente
autorizado es prohibido;
4) un proceso para revocar el
derecho de acceso o interrumpir la conexin
entre sistemas;
e) arreglos para reportar, notificar e
investigar inexactitudes de informacin
(como detalles personales), incidentes y
aberturas en la seguridad de informacin;
f) una descripcin de cada servicio a ser
disponible;
g) el nivel de servicio;
h) el derecho para controlar y revocar
cualquier actividad relacionado con los
activos de la organizacin;
i) las respectivas responsabilidades de la
organizacin y de los clientes;
j) las responsabilidades en materia de
legislacin por ejemplo sobre proteccin de
datos personales, teniendo especialmente
en cuenta los diferentes sistemas legales
nacionales si el contrato implica la
cooperacin con organizaciones de otros
pases
k) los derechos de propiedad intelectual,
proteccin contra copias y proteccin en
tareas de colaboracin

Los siguientes trminos deben ser


considerados para inclusin en el acuerdo
con el fin de satisfacer los requisitos
identificados de seguridad.
a) la poltica de informacin de seguridad;
Direccionamiento de la seguridad en los contratos de
6.2.3 INEXISTENTE GESTIONADO b) los controles que aseguren la proteccin
outsourcing
del activo, incluyendo:
1) procedimientos para proteger los
activos organizacionales, incluyendo
informacin, software y hardware;

8 de 67
ID CONTROL CONTROL ESTADO INICIAL ESTADO DESTINO ACCIONES REQUERIDAS
2) controles cualquiera de proteccin
fsica requerida y mecanismos;
3) controles para asegurar la
proteccin contra software malicioso;
4) procedimientos para determinar si
es que se compromete el activo,
como la perdida o modificacin de la
informacin, software y hardware, ha
ocurrido;
5) controles que aseguran el retorno
o la destruccin de informacin y
activos al final de o de un tiempo
acordado durante el acuerdo;
6) confidencialidad, integridad,
disponibilidad y cualquier otra propiedad
relevante de los activos;
7) restricciones para copiar y
divulgar informacin y el uso de acuerdos de
confidencialidad;
c) capacitacin en los mtodos,
procedimientos y seguridad para usuario y
administrador;
d) asegurar el conocimiento del usuario para
temas y responsabilidades de la
seguridad de informacin;
e) disposicin para transferir personal,
cuando sea apropiado;
f) responsabilidades con respecto a la
instalacin y el mantenimiento del hardware
y software;
g) una clara estructura y formatos de
reportes;
h) un claro y especificado proceso de
cambio de gestin;
i) poltica de control de acceso.
j) (Detalles en la NTP).

El OSIPTEL debe identificar todos los


activos y la documentacin de importancia
de ellos. El inventario de activos debe incluir
7.1.1 Inventario de Activos INICIADO GESTIONADO
toda la informacin necesaria con el fin de
recuperarse de un desastre, incluyendo el
tipo de
9 de 67
ID CONTROL CONTROL ESTADO INICIAL ESTADO DESTINO ACCIONES REQUERIDAS
activo, formato, ubicacin, informacin de
respaldo, informacin de licencia y el valor
dentro del negocio. El inventario no debe
duplicar otros inventarios sin necesidad ,
pero debe esta seguro de que el contenido
se encuentra alineado.

Los propietarios de los activos deben ser


responsables por:
a) asegurar que la informacin y los activos
asociados con las instalaciones de
procesamiento de informacin son
apropiadamente clasificadas;
b) definiendo y revisando peridicamente las
restricciones de acceso y las clasificaciones,
7.1.2 Propiedad de los activos INEXISTENTE GESTIONADO tomando en cuenta polticas de control
aplicables.

La propiedad debe ser asignada a:


a) proceso de negocios;
b) un conjunto GESTIONADO de
actividades;
c) una paliacin; o
d) un conjunto GESTIONADO de datos.
Todos los empleados, contratistas y terceras
partes deben de seguir las siguientes reglas
para un uso aceptable de la informacin y de
los activos asociados con las instalaciones
del procesamiento de informacin,
incluyendo:
a) reglas para correo electrnico y usos de
Internet;
b) guas para el uso de aparatos mviles,
especialmente para el uso fuera de las
7.1.3 Uso adecuado de los activos INICIADO GESTIONADO
premisas de la organizacin;
Reglas especificas o guas deben ser
provistas por la gerencia relevante.
Empleados,
contratistas y usuarios de terceros usando o
teniendo acceso a los activos de la
organizacin deben estar al tanto de los
limites existentes para el uso de

10 de 67
ID CONTROL CONTROL ESTADO INICIAL ESTADO DESTINO ACCIONES REQUERIDAS
la informacin de la organizacin y de los
activos asociados con las instalaciones de
procesamiento de informacin y recursos.
Ellos deben ser responsables del uso de
cualquier recurso del procesamiento de
informacin y de cualquier otro uso parecido
bajo su responsabilidad.

Las clasificaciones de informacin y otros


controles de proteccin asociados deberan
tener en cuenta que el negocio necesita
compartir o restringir la informacin, as
como los impactos en la organizacin
asociados a esas necesidades.
Las guas de clasificacin deben incluir
convenciones para la clasificacin inicial y la
reclasificacin a travs del tiempo, en
concordancia con algunas polticas de
control
predeterminadas (vase 11.1.1).
Debe ser responsabilidad del propietario del
activo (vase 7.1.2) definir la clasificacin de
este, revisarlo peridicamente y asegurarse
que esta actualizado y en un nivel
apropiado. La clasificacin debe tomar en
7.2.1 Gua de clasificacin INICIADO GESTIONADO
cuenta el efecto agregado mencionado en
10.7.2.
Debe darse consideracin al numero de
categoras de clasificacin y los beneficios
que se obtendrn de su uso. Esquemas muy
complejos pueden ser incmodos y poco
rentables de usar o pueden probarse
imprcticos. Se debe mantener cuidado al
interpretar las etiquetas de clasificacin en
documentos de otras organizaciones que
puedan tener diferentes definiciones para
nombres de etiquetas iguales o similares.

Los procedimientos para el marcado de la


7.2.2 Marcado y tratamiento de la informacin INICIADO GESTIONADO
informacin han de cubrir los activos
11 de 67
ID CONTROL CONTROL ESTADO INICIAL ESTADO DESTINO ACCIONES REQUERIDAS
en formato fsico y electrnico.
La salida procedente de los sistemas que
traten informacin clasificada como sensible
o crtica deberan llevar una etiqueta de
clasificacin adecuada (en la salida). El
marcado debera reflejar la clasificacin de
acuerdo con las reglas establecidas en el
inciso 7.2.1.
Se consideran elementos como informes
impresos, pantallas, medios de
almacenamiento (cintas, discos, CDs,
casetes), mensajes electrnicos y
transferencias de archivos.
Para cada nivel de clasificacin, los
procedimientos de manipulacin incluyendo
el
procesamiento seguro, copia,
almacenamiento, transmisin, clasificacin y
destruccin deben ser GESTIONADOs.
Los acuerdos con otras organizaciones que
compartan informacin deben incluir
procedimientos para identificar la
clasificacin de dicha informacin e
interpretar la marca de clasificacin de otras
organizaciones.

Las funciones de seguridad y las


responsabilidades deben incluir los
siguientes requisitos:
a) implementadas y realizadas en
concordancia con la poltica de seguridad de
la
organizacin (vase el inciso 5.1);
Inclusion de la seguridad en las responsabilidades y b) deben proteger a los activos de un acceso
8.1.1 DEFINIDO GESTIONADO
funciones laborales no autorizado, modificacin, destruccin o
interferencia;
c) ejecutar procesos particulares o
actividades;
d) asegurar que la responsabilidad sea
asignada al individuo para tomar acciones;
e) reportar eventos de seguridad o

12 de 67
ID CONTROL CONTROL ESTADO INICIAL ESTADO DESTINO ACCIONES REQUERIDAS
eventos potenciales u otro riesgo de
seguridad
para la organizacin.
Las listas de verificacin deben tomar en
cuenta la privacidad, la proteccin de los
datos del personal y/o el empleo basado en
la legislacin y debe permitir incluir lo
siguiente:
a) la disponibilidad de referencias
satisfactorias sobre actitudes, por ejemplo,
una personal y otra de la organizacin;
b) la comprobacin (de los datos completos
8.1.2 Investigacin de antecedentes INICIADO GESTIONADO y precisos) del Curriculum Vitae del
candidato;
c) la confirmacin de las certificaciones
acadmicas y profesionales;
d) una comprobacin independiente de la
identificacin (con pasaporte o documento
similar);
e) comprobaciones mas detalladas, como
criminales o de crdito.

Los trminos y condiciones del empleo


deben reflejar la poltica de organizacin de
la organizacin adems de aclarar y
establecer:
a) que todos los empleados, contratistas y
terceros a los que se les ha dado acceso a
informacin sensible deben firmar un
acuerdo de confidencialidad y de no
divulgacin antes de darle el acceso a las
8.1.3 Trminos y condiciones de contratacin INICIADO GESTIONADO
instalaciones de procesamiento de
informacin;
b) las responsabilidades y derechos del
contratista de empleados o cualquier otro
usuario, por ejemplo en relacin con la
legislacin de la proteccin de las leyes o de
los datos del derecho del autor;

Las responsabilidades de la gerencia deben


incluir, asegurarse de que los empleados,
8.2.1 Responsabilidad de la gerencia DEFINIDO GESTIONADO
contratistas y terceros:
a) cuenten con un resumen apropiado
13 de 67
ID CONTROL CONTROL ESTADO INICIAL ESTADO DESTINO ACCIONES REQUERIDAS
de sus responsabilidades y roles en la
seguridad de informacin antes de
garantizar el acceso a informacin sensible
o a los sistemas de informacin;
b) que estn provistos con una gua que
establezca las expectativas de seguridad de
su rol dentro de la organizacin;
c) que se encuentren motivados de cumplir
las polticas de seguridad de la organizacin;
d) alcancen un nivel de conocimiento de
seguridad relevante en sus roles y
responsabilidades dentro de la organizacin
(vase el inciso 8.2.2);

El entrenamiento en el conocimiento debe


empezar con una induccin formal del
proceso designado para introducir la poltica
de seguridad de la organizacin y las
expectativas, antes conceder acceso a la
informacin o al servicio.
El entrenamiento en curso debe incluir
requisitos de seguridad, responsabilidades
Concienciacin, educacin y formacin en seguridad de la
8.2.2 INICIADO GESTIONADO legales y controles del negocio, as como
informacin
practicas en el uso correcto de los recursos
de tratamiento de informacin
(procedimientos de concesin (log-on), uso
de paquetes de software e informacin en el
proceso disciplinario (vase el inciso 8.2.3).

El proceso disciplinario no debe comenzar


sin una verificacin previa de que la apertura
en la seguridad ha ocurrido (vase el inciso
13.2.3).
El proceso formal disciplinario debe
8.2.3 Proceso disciplinario INICIADO GESTIONADO asegurar un correcto y justo tratamiento de
los
empleados que son sospechosos de
cometer aperturas en la seguridad. El
proceso formal disciplinario debe proveer
para una respuesta graduada
14 de 67
ID CONTROL CONTROL ESTADO INICIAL ESTADO DESTINO ACCIONES REQUERIDAS
que tome en consideracin factores como la
naturaleza, la gravedad de la apertura y su
impacto en el negocio, si es que la ofensa es
repetida o nica o si es que el violador
estuvo propiamente entrenado, leyes
relevantes,
contratos de negocio as como otros factores
si son requeridos. En casos serios de mala
conducta el proceso debe permitir el retiro
de sus labores, derechos de acceso y
privilegios as como una escolta inmediata
fuera del sitio, si es que es necesario.

La comunicacin de la finalizacin de las


responsabilidades deben incluir requisitos de
seguridad en curso y responsabilidades
legales y donde sea apropiado,
responsabilidades contenidas dentro de
cualquier acuerdo de confidencialidad
(vase el inciso 6.1.5) y trminos y
condiciones (vase el inciso 8.1.3) continuas
por un periodo GESTIONADO despus del
termino del contrato de empleo o de
terceros.
8.3.1 Finalizacin de responsabilidades INICIADO GESTIONADO Las responsabilidades y tareas que son
todava validad despus de la finalizacin
del empleo deben ser contenidas en el
contrato de empleo o en los contratos de
terceros.
Los cambios de responsabilidad o empleo
deben ser maniobrados como la finalizacin
de la respectiva responsabilidad o empleo y
la nueva responsabilidad o empleo debe ser
controlada.

El proceso de finalizacin debe ser


formalizado para incluir el retorno previo de
los software, documentos corporativos y
8.3.2 Retorno de activos DEFINIDO GESTIONADO equipos. Otros activos de la organizacin
como dispositivos mviles de computo,
tarjetas de crdito, tarjetas de acceso,
manuales,
15 de 67
ID CONTROL CONTROL ESTADO INICIAL ESTADO DESTINO ACCIONES REQUERIDAS
software e informacin guardada en medios
electrnicos, tambin necesitan ser
devueltos.
En casos donde el empleado, contratista o
tercero compra el equipo de la organizacin
o usa su propio equipo, se debe seguir
procedimientos para asegurar que toda la
informacin relevante es transferida a la
organizacin y borrado con seguridad del
equipo (vase el inciso 10.7.1).
En casos donde un empleado, contratista o
tercero tiene conocimiento que es
importante para las operaciones en curso,
esa informacin debe ser documentada y
transferida a la organizacin.

Los derechos de acceso para activos de


informacin y equipos de deben ser
reducidos o removidos antes que el empleo
termine o cambie, dependiendo de la
evaluacin de los factores de riesgo como:
a) si la finalizacin o cambio es DEFINIDO
por el empleado, contratista o usuario de
8.3.3 Retirada de derechos de acceso GESTIONADO GESTIONADO tercero, o por la gerencia y la razn de la
finalizacin;
b) las responsabilidades actuales del
empleado u otro usuario;
c) el valor de los activos a los que se accede
actualmente.

Las siguientes pautas deben ser


consideradas e implementadas donde sea
apropiado para los permetros de seguridad
fsicos.
a) el permetro de seguridad debera estar
claramente GESTIONADO y el lugar y
9.1.1 Permetro de seguridad fsica INICIADO GESTIONADO
fuerza
de cada permetro debe depender de los
requerimientos de seguridad del activo entre
el permetro y los resultados de la
evaluacin de riesgos;
b) el permetro de un edificio o un lugar
16 de 67
ID CONTROL CONTROL ESTADO INICIAL ESTADO DESTINO ACCIONES REQUERIDAS
que contenga recursos de tratamiento de
informacin debera tener solidez fsica (por
ejemplo no tendr zonas que puedan
derribarse fcilmente). Los muros externos
del lugar deberan ser slidos y todas las
puertas exteriores deberan estar
convenientemente protegidas contra
accesos no
autorizados, por ejemplo, con mecanismos
de control, alarmas, rejas, cierres, etc., las
puertas y las ventanas deben ser cerradas
con llave cuando estn desatendidas y la
proteccin externa debe ser considerado
para ventanas, particularmente al nivel del
suelo;
c) se debera instalar un rea de recepcin
manual u otros medios de control del
acceso fsico al edificio o lugar. Dicho
acceso se debera restringir slo al personal
autorizado;
d) las barreras fsicas se deberan extender,
si es necesario, desde el suelo real al
techo real para evitar entradas no
autorizadas o contaminacin del entorno;
e) todas las puertas para incendios del
permetro de seguridad deberan tener
alarma, ser monitoreadas y probadas en
conjuncin con las paredes para establecer
el nivel requerido de resistencia en
concordancia con los estndares regionales,
nacionales e internacionales apropiados;
deben operar en concordancia con el cdigo
de fuego local como una forma de

17 de 67
ID CONTROL CONTROL ESTADO INICIAL ESTADO DESTINO ACCIONES REQUERIDAS
seguridad;
f) se debe instalar sistemas adecuados de
deteccin de intrusos de acuerdo a
estndares regionales, nacionales o
internacionales y deben ser regularmente
probados para cubrir todas las puertas
externas y ventanas de acceso, las reas no
ocupadas deben tener una alarma todos el
tiempo, tambin se debe cubrir otras reas
como las salas de computo o las salas de
comunicacin;
g) los recursos de procesamiento de
informacin manejadas por la organizacin
deben ser fsicamente separadas de las que
son manejadas por terceros.

Deberan considerarse las siguientes


pautas:
a) las visitas a las reas seguras se
deberan supervisar, a menos que el acceso
haya sido aprobado previamente, y se debe
registrar la fecha y momento de entrada y
salida. Los visitantes slo tendrn acceso
para propsitos especficos y autorizados,
proporcionndoles instrucciones sobre los
requisitos de seguridad del rea y los
procedimientos de emergencia;
b) se debera controlar y restringir slo al
personal autorizado el acceso a la
9.1.2 Controles fsicos de entrada INICIADO GESTIONADO informacin sensible y a los recursos de su
tratamiento. Se deberan usar controles de
autenticacin, por ejemplo, tarjetas con
nmero de identificacin personal (PIN),
para autorizar y validar el acceso. Se
debera mantener un rastro auditable de
todos los accesos, con las debidas medidas
de seguridad;
c) se debera exigir a todo el personal

18 de 67
ID CONTROL CONTROL ESTADO INICIAL ESTADO DESTINO ACCIONES REQUERIDAS
que lleve puesta alguna forma de
identificacin visible y se le pedir que
solicite a los extraos no acompaados y a
cualquiera que no lleve dicha identificacin
visible, que se identifique;
d) se debe garantizar el acceso restringido al
personal de apoyo de terceros, hacia
reas de seguridad o a los recursos de
procesamiento de informacin sensibles,
solo
cuando este sea requerido. Este acceso
debe ser autorizado y monitoreado.

a) se debera tomar en cuenta las


regulaciones y estndares de salud y
seguridad;
b) se deben instalar equipos con clave
deben para evitar el acceso del publico;
c) donde sea aplicable, los edificios deben
ser discretos y dar una mnima
indicacin de su propsito, sin signos
9.1.3 Seguridad de oficinas, despachos y recursos GESTIONADO GESTIONADO obvios, fuera o dentro del edificio, que
identifiquen la presencia de actividades de
tratamiento de informacin;
d) los directorios y las guas telefnicas
internas identificando locaciones de los
recursos de informacin sensible no deben
ser fcilmente accesibles por el publico.

Las siguientes pautas deben ser


consideradas para evitar dao por parte del
fuego,
inundacin, temblores, explosiones,
malestar civil y otras formas de desastre
Proteccin contra las amenazas externas y ambientales natural o
9.1.4 DEFINIDO GESTIONADO
humana:
a) los materiales peligrosos y combustibles
se deberan almacenar en algn lugar
distante de las reas seguras. No se
deberan almacenar dentro de un rea

19 de 67
ID CONTROL CONTROL ESTADO INICIAL ESTADO DESTINO ACCIONES REQUERIDAS
segura
suministros a granel hasta que se necesiten;
b) el equipo y los medios de respaldo
deberan estar a una distancia de seguridad
conveniente para evitar que se daen por un
desastre en el rea principal;
c) equipo apropiado contra incendio debe
ser provisto y ubicado adecuadamente.

Se deben considerar las siguientes pautas:


a) el personal slo debera conocer la
existencia de un rea segura, o de sus
actividades, si lo necesitara para su trabajo;
b) se debera evitar el trabajo no
supervisado en reas seguras tanto por
motivos
de salud como para evitar oportunidades de
actividades maliciosas;
9.1.5 Trabajo en reas seguras INICIADO GESTIONADO
c) las reas seguras deberan estar cerradas
y controlarse peridicamente cuando
estn vacas;
d) no se debera permitir la presencia de
equipo

Se deben considerar las siguientes pautas:


a) se deberan restringir los accesos al rea
de carga y descarga desde el exterior
nicamente al personal autorizado e
identificado;
b) el rea de carga y descarga se debera
disear para que los suministros puedan
9.1.6 reas de acceso publico , de carga y descarga INICIADO GESTIONADO descargarse sin tener acceso a otras zonas
del edificio;
c) la puerta externa del rea debera estar
cerrada cuando la interna est abierta;

20 de 67
ID CONTROL CONTROL ESTADO INICIAL ESTADO DESTINO ACCIONES REQUERIDAS
d) el material entrante se debera
inspeccionar para evitar posibles amenazas
segregado (vase el inciso 9.2.ld) antes de
llevarlo a su lugar de utilizacin;
e) el material entrante se debera registrar
en concordancia con los
procedimientos de gestin de activos (vase
el inciso 7.1.1) al entrar en el lugar;
f) el material entrante y saliente debera ser
fsicamente separado, donde sea
posible.

Se deberan considerar los siguientes


pautas para proteger los equipos:
a) los equipos se deberan situar dnde se
minimicen los accesos innecesarios a
las reas de trabajo;
b) los equipos de tratamiento y
almacenamiento de informacin que
manejen
datos sensibles se deberan instalar dnde
se reduzca el riesgo de que personas no
autorizadas vean los procesos durante su
uso;
c) los elementos que requieran especial
proteccin se deberan aislar para reducir
el nivel general de proteccin requerido;
9.2.1 Instalacin y proteccin de equipos INICIADO GESTIONADO
d) los controles deben ser adoptados para
minimizar los riesgos de posibles
amenazas como robo, incendio, explosivos,
humo, agua (o fallo de suministro), polvo,
vibraciones, efectos qumicos, interferencias
en el suministro elctrico, radiaciones
electromagnticas y vandalismo;
e) la organizacin debera incluir en su
poltica cuestiones sobre fumar, beber

21 de 67
ID CONTROL CONTROL ESTADO INICIAL ESTADO DESTINO ACCIONES REQUERIDAS
y
comer cerca de los equipos de tratamiento
de informacin;
f) se deberan vigilar las condiciones
ambientales, como temperatura y humedad,
que puedan afectar negativamente al
funcionamiento de los equipos de
tratamiento de informacin;

Todos las instalaciones de apoyo, como la


electricidad, el suministro de agua, desage,
calefaccin/ventilacin y aire acondicionado
debe ser adecuado para los sistemas que
estn apoyando. Los equipos de apoyo
deben ser inspeccionados regularmente y
probados apropiadamente para asegurar su
9.2.2 Suministro elctrico INICIADO GESTIONADO funcionamiento apropiado y para reducir
cualquier riesgo causado por su mal
funcionamiento o por una falla. Un
suministro elctrico adecuado debe ser
provisto que sea conforme con las
especificaciones del fabricante del equipo.

Se deberan considerar los siguientes


pautas para la seguridad del cableado:
a) las lneas de energa y
telecomunicaciones en las zonas de
tratamiento de
informacin, se deberan enterrar, cuando
sea posible, o adoptarse medidas
alternativas de proteccin;
b) la red cableada se debera proteger
contra intercepciones no autorizadas o
9.2.3 Seguridad de cableado INICIADO GESTIONADO
daos, por ejemplo, usando conductos y
evitando rutas a travs de reas pblicas;
c) se deberan separar los cables de energa
de los de comunicaciones para evitar
interferencias;
d) cables claramente identificados y marcas
de equipo deben ser utilizadas con el

22 de 67
ID CONTROL CONTROL ESTADO INICIAL ESTADO DESTINO ACCIONES REQUERIDAS
fin de minimizar errores de manejo como el
de parchar cables de una red incorrecta;
e) un lista documentada de parches debe
utilizarse con el fin de reducir la
posibilidad de errores;
f) (DETALLES EN LA NTP)

Las siguientes pautas para el mantenimiento


de los equipos deberan ser considerados:
a) los equipos se deberan mantener de
acuerdo a las recomendaciones de
intervalos y especificaciones de servicio del
suministrador;
b) slo el personal de mantenimiento
debidamente autorizado debera realizar la
reparacin y servicio de los equipos;
c) se deberan registrar documentalmente
todos las fallos, reales o sospechados,
as como todo el mantenimiento preventivo y
correctivo;
d) se debera implementar controles
9.2.4 Mantenimiento de equipos INICIADO GESTIONADO
apropiados cuando el equipo es programado
para mantenimiento, tomando en cuenta si
este mantenimiento es realizado por
personal interno o externo a la organizacin;
donde sea necesario, debe despejarse la
informacin sensible del equipo;
e) se deberan cumplir todos los requisitos
impuestos por las polticas de los seguros.

Slo la gerencia debera poder autorizar el


uso de cualquier equipo para tratamiento de
informacin fuera de los locales de la
organizacin, sea quien sea su propietario.
Seguridad de los equipos fuera de los locales de la
9.2.5 DEFINIDO GESTIONADO a) los equipos y medios que contengan
organizacin
datos con informacin y sean sacados de
su entorno habitual no se deberan

23 de 67
ID CONTROL CONTROL ESTADO INICIAL ESTADO DESTINO ACCIONES REQUERIDAS
dejar desatendidos en sitios pblicos.
Cuando viajen, los computadores porttiles
se deberan transportar de una manera
disimulada como equipaje de mano;
b) se deberan observar siempre las
instrucciones del fabricante para proteger los
equipos, por ejemplo, contra exposiciones a
campos electromagnticos intensos;
c) los controles para el trabajo en el
domicilio se deberan determinar mediante
una evaluacin de los riesgos y aplicarse los
controles convenientes segn sea
apropiado, por ejemplo, en controles de
acceso a los computadores, una poltica de
puesto de trabajo despejado y cierre de las
zonas de archivo (vase tambin ISO/IEC
18028 Seguridad de Redes.);
d) se deberan cubrir con un seguro
adecuado los equipos fuera de su lugar de
trabajo.

Los dispositivos de almacenamiento con


informacin sensible se deberan destruir
fsicamente o la informacin debe ser
destruida, borrada o sobrescrita usando
Seguridad en la reutilizacin o eliminacin de equipos
9.2.6 INEXISTENTE GESTIONADO tcnicas para hacer que la informacin
original sea no recuperable y no
simplemente usando la funcin normalizada
de borrado (delete) o la funcin formato.

Se deben de considerar las siguientes


pautas:
a) el equipo, informacin o software no debe
ser sacado fuera del local sin
9.2.7 Retiro de la Propiedad INEXISTENTE GESTIONADO
autorizacin;
b) los empleados, contratistas y usuarios de
terceros que tengan autoridad para

24 de 67
ID CONTROL CONTROL ESTADO INICIAL ESTADO DESTINO ACCIONES REQUERIDAS
permitir el retiro de la propiedad de los
activos deben ser claramente identificados;
c) los tiempos limite para el retiro de equipos
deben ser fijados y el retorno del
equipo verificado para asegurar la
conformidad;
d) el equipo debe ser registrado, si es
necesario

Los procedimientos deberan especificar las


instrucciones necesarias para la ejecucin
detallada de cada tarea, incluyendo:
a) el proceso y utilizacin correcto de la
informacin;
b) backup (vase el inciso 10.5);
c) los requisitos de planificacin, incluyendo
las interdependencias con otros
sistemas, con los tiempos de comienzo ms
temprano y final ms tardo posibles de
cada tarea;
d) las instrucciones para manejar errores u
otras condiciones excepcionales que
puedan ocurrir durante la tarea de ejecucin,
incluyendo restricciones en el uso de
servicios del sistema (vase el inciso
11.5.4);
10.1.1 Documentacin de procedimientos operativos DEFINIDO GESTIONADO
e) los contactos de apoyo en caso de
dificultades inesperadas operacionales o
tcnicas;
f) las instrucciones especiales de utilizacin
de resultados, como el uso de papel
especial o la gestin de resultados
confidenciales, incluyendo procedimientos
de
destruccin segura de resultados producidos
como consecuencia de

25 de 67
ID CONTROL CONTROL ESTADO INICIAL ESTADO DESTINO ACCIONES REQUERIDAS
tareas fallidas
(vase tambin 10.7.2 y 10.7.3);
g) el reinicio del sistema y los
procedimientos de recuperacin a utilizar en
caso
de fallo del sistema;
En particular se deberan considerar los
siguientes controles y medidas:
a) la identificacin y registro de cambios
significativos;
b) planeamiento y prueba de los cambios;
c) la evaluacin de los posibles impactos,
incluyendo impactos de seguridad, de
dichos cambios;
d) un procedimiento formal de aprobacin de
los cambios propuestos;
10.1.2 Gestin de cambio DEFINIDO GESTIONADO
e) la comunicacin de los detalles de cambio
a todas las personas que
corresponda;
f) procedimientos que identifiquen las
responsabilidades de abortar y recobrarse
de los cambios sin xito y de
acontecimientos imprevistos.

La segregacin de tareas es un mtodo para


reducir el riesgo de mal uso accidental o
deliberado de un sistema. Se debe tener
cuidado de que cualquier persona puede
acceder,
modificar o utilizar los activos sin
10.1.3 Segregacin de tareas INICIADO GESTIONADO autorizacin o sin ser detectado. La
iniciacin de un evento debe estar separado
de su autorizacin. La posibilidad de
confabulacin debe ser considerada en el
diseo de los controles.

Se debera considerar lo siguiente:


a) las reglas de transferencia del software
Separacin de los recursos para el desarrollo y para
10.1.4 INICIADO GESTIONADO desde un estado de desarrollo al de
produccin
produccin deben ser GESTIONADOs y

26 de 67
ID CONTROL CONTROL ESTADO INICIAL ESTADO DESTINO ACCIONES REQUERIDAS
documentados;
b) el software de desarrollo y el de
produccin deberan, si es posible, funcionar
en procesadores diferentes, o en dominios o
directorios distintos;
c) los compiladores, editores y otros
servicios del sistema no deberan ser
accesibles desde los sistemas de
produccin, cuando no se necesiten;
d) el entorno de prueba del sistema debe
emular el entorno del sistema
operacional lo mas cercano posible;
e) los usuarios deben utilizar diferentes
perfiles de usuario para los sistemas
operacionales y de prueba; y los mens
deben exhibir mensajes de identificacin
apropiados con el fin de reducir el riesgo por
error;
f) los datos sensibles no deben ser copiados
en el entorno del sistema de prueba.

El servicio entregado por terceros debe


incluir los arreglos de seguridad acordados,
definiciones de servicio y aspectos de la
gestin del servicio. En caso de arreglos de
outsourcing, la organizacin debe planear
las transiciones (de informacin, recursos
10.2.1 Entrega de servicio INICIADO GESTIONADO
del
procesamiento de informacin y cualquier
otra cosa que requiere ser

Esto debe implicar una relacin y proceso de


gestin del servicio entre la organizacin y
terceros para:
a) servicio de monitoreo de niveles de
10.2.2 control y revisin de los servicios por tercera parte DEFINIDO GESTIONADO funcionamiento para verificar que se
adhieran a los acuerdos;
b) reportes de revisin de servicio
producidos por terceros y que arregle
reuniones
27 de 67
ID CONTROL CONTROL ESTADO INICIAL ESTADO DESTINO ACCIONES REQUERIDAS
regulares de progreso como requieran los
acuerdos;
c) proveer informacin acerca de los
incidentes de seguridad de informacin y
revisin de esta informacin por terceros y la
organizacin como requiera los acuerdos y
cualquier pautas de apoyo y procedimientos;
d) revisar los acuerdos y los rastros de
intervencin de los eventos de seguridad,
problemas operacionales, fallas, trazabilidad
de faltas e interrupciones relacionadas con
el servicio entregado;
e) resolver y manejar cualquier problema
identificado.

El proceso de gestionar cambios para los


servicios externos necesita tomar en cuenta
lo siguiente:
10.2.3 Gestin de cambios de los servicios por tercera parte INICIADO GESTIONADO a) cambios realizados por la organizacin
b) cambios en los servicios externos

Para cada actividad que se este llevando a


cabo o para una actividad nueva, los
requisitos de capacidad deben ser
identificados. Se debe aplicar el monitoreo
de los sistemas con el fin de asegurar, y
donde sea necesario, mejorar la
disponibilidad y la eficiencia de los sistemas.
Controles de deteccin deben ser instalados
pata detectar los problemas en un tiempo
debido.
10.3.1 Gestin de la capacidad DEFINIDO GESTIONADO
Las proyecciones deberan tener en cuenta
los requisitos de las nuevas actividades y
sistemas, as como la tendencia actual y
proyectada de tratamiento de la informacin
en la organizacin.
Se requiere poner particular atencin a
cualquier recurso con tiempo de llegada
largo o con costos altos; por

28 de 67
ID CONTROL CONTROL ESTADO INICIAL ESTADO DESTINO ACCIONES REQUERIDAS
esto, la gerencia debe monitorear la
utilizacin de los recursos claves del
sistema. Se deberan identificar las
tendencias de uso, particularmente relativas
a las aplicaciones del negocio o a las
herramientas de administracin de sistemas
de informacin.
Los administradores se deberan asegurar
que los requisitos y criterios de aceptacin
de los nuevos sistemas estn claramente
GESTIONADOs, acordados, documentados
y probados. Los nuevos sistemas de
informacin, actualizaciones y las nuevas
versiones deben ser migradas a produccin
solamente despus de obtener una
aceptacin formal. Se deberan considerar
los siguientes puntos antes de obtener la
aceptacin formal:
a) los requisitos de rendimiento y capacidad
de los computadores;
b) los procedimientos de recuperacin de
errores y reinicio, as como los planes
de contingencia;
c) la preparacin y prueba de
procedimientos operativos de rutina segn
10.3.2 Aceptacin del sistema GESTIONADO GESTIONADO las
normas definidas;
d) un conjunto acordado de controles y
medidas de seguridad instalados;
e) manual de procedimiento eficaz;
f) plan de continuidad del negocio como se
requiere en el inciso 11.1;
g) la evidencia de que la instalacin del
nuevo sistema no producir repercusiones
negativas sobre los existentes,
particularmente en los tiempos con pico de
proceso como a fin de mes;
h) la evidencia de que se ha tenido en
cuenta el efecto que tendr el nuevo sistema
en la seguridad global de la

29 de 67
ID CONTROL CONTROL ESTADO INICIAL ESTADO DESTINO ACCIONES REQUERIDAS
organizacin;

La proteccin contra el software malicioso


debera basarse en la conciencia de la
seguridad, en sistemas adecuados de
acceso y en controles de gestin de los
cambios. Los controles siguientes deberan
ser considerados:
a) una poltica formal que requiera el
cumplimiento de las licencias de software y
la prohibicin del uso de software no
autorizado (vase el inciso 15.1.2);
b) una poltica formal de proteccin contra
los riesgos asociados a la obtencin de
archivos y software por redes externas o
cualquier otro medio, indicando las medidas
protectoras a adoptar;
c) la realizacin de revisiones regulares del
software y de los datos contenidos en
los sistemas que soportan procesos crticos
de la organizacin. Se debera investigar
formalmente la presencia de todo archivo no
aprobado o toda modificacin no
10.4.1 Controles contra cdigo malicioso DEFINIDO GESTIONADO
autorizada;
d) la instalacin y actualizacin frecuente de
software de deteccin y reparacin
de virus, que exploren los computadores y
los medios de forma rutinaria o como un
control preventivo;
e) los procedimientos y responsabilidades
de administracin para la utilizacin de
la proteccin de antivirus, la formacin para
su uso, la informacin de los ataques de los
virus y la recuperacin

30 de 67
ID CONTROL CONTROL ESTADO INICIAL ESTADO DESTINO ACCIONES REQUERIDAS
de stos (vanse los incisos 13.1 y 13.2);
f) los planes de continuidad del negocio
apropiados para recuperarse de los
ataques de virus, incluyendo todos los datos
y software necesarios de respaldo y las
disposiciones para la recuperacin (vase el
captulo 14);
g) la implementacin de procedimientos para
recolectar informacin
regularmente, como suscribirse a listas de
correo y/o verificar paginas Web que
contengan informacin sobre nuevos virus.

Los siguientes puntos de la recuperacin de


informacin deben ser considerados:
a) se debera definir el nivel necesario de
recuperacin de la informacin;
b) se debera almacenar un nivel mnimo de
informacin de respaldo, junto a los
registros exactos y completos de las copias
de seguridad y a procedimientos
documentados de recuperacin;
c) la extensin y frecuencia de los respaldos
deben reflejar las necesidades de la
organizacin, los requisitos de seguridad de
la informacin envuelta, y la criticidad de la
10.5.1 Recuperacn de la informacin INICIADO GESTIONADO informacin para la operacin continua de la
organizacin;
d) los respaldos deben estar almacenados
en una locacin remota, en una
distancia suficiente para escapar de
cualquier dao frente a un desastre en el
local
principal;
e) se debera dar a la informacin de
respaldo un nivel adecuado de

31 de 67
ID CONTROL CONTROL ESTADO INICIAL ESTADO DESTINO ACCIONES REQUERIDAS
proteccin
fsica y del entorno (vase el captulo 9), un
nivel consistente con las normas aplicadas
en el local principal. Se deberan extender
los controles y medidas aplicados a los
medios en el local principal para cubrir el
local de respaldo;
f) los medios de respaldo se deberan probar
regularmente, donde sea factible,
para asegurar que son fiables cuando sea
preciso su uso en caso de emergencia;
g) se deberan comprobar y probar
regularmente los procedimientos de
recuperacin para asegurar que son
eficaces y que pueden cumplirse en el
tiempo
establecido por los procedimientos
operativos de recuperacin;
h) en situaciones donde la confidencialidad
sea importante, los respaldos deben
ser protegidos por medios de encriptacin.

Los administradores de redes deberan


implantar los controles y medidas requeridas
para conseguir y conservar la seguridad de
los datos en las redes de computadores, as
como la proteccin de los servicios
conectados contra accesos no autorizados.
En particular, se deberan considerar los
controles y medidas siguientes:
a) La responsabilidad operativa de las redes
10.6.1 Controles de red INICIADO GESTIONADO
debera estar separada de la
operacin de los computadores si es
necesario (vase el inciso 10.1.3);
b) Se deberan establecer responsabilidades
y procedimientos para la gestin de
los equipos remotos, incluyendo los de las
reas de los usuarios;

32 de 67
ID CONTROL CONTROL ESTADO INICIAL ESTADO DESTINO ACCIONES REQUERIDAS
c) Se deberan establecer, si procede,
controles y medidas especiales para
salvaguardar la confidencialidad y la
integridad de los datos que pasen a travs
de redes pblicas, as como para proteger
los sistemas conectados. Tambin se
deberan requerir controles y medidas
especiales para mantener la disponibilidad
de los servicios de las redes y de los
computadores conectados;
d) Un registro y monitoreo apropiado debe
ser aplicado para permitir el registro
de acciones relevantes de seguridad;
e) Se deberan coordinar estrechamente las
actividades de gestin tanto para
optimizar el servicio al negocio como para
asegurar que los controles y medidas se
aplican coherentemente en toda la
infraestructura de tratamiento de la
informacin.

La habilidad del proveedor del servicio de


red para manejar servicios acordados de
una manera segura debe ser determinado y
monitoreado regularmente, y el derecho
para auditar debe ser acordado.
Los acuerdos de seguridad necesarios para
servicios particulares, como caractersticas
10.6.2 Seguridad de los servicios de red INEXISTENTE GESTIONADO
de seguridad, niveles de servicio y los
requisitos de gestin, deben ser
identificados. La organizacin debe
asegurarse que los proveedores del servicio
de red implementen estas medidas.

Se deberan considerar las siguientes


pautas para la gestin de los medios
removibles:
10.7.1 Gestin de los medios removibles INEXISTENTE GESTIONADO
a) se deberan borrar cuando no se
necesiten ms, los contenidos previos de
todo
33 de 67
ID CONTROL CONTROL ESTADO INICIAL ESTADO DESTINO ACCIONES REQUERIDAS
medio reutilizable del que se desprenda la
organizacin;
b) donde sea necesario y practico, todo
medio desechado por la organizacin
debera requerir autorizacin y se debera
guardar registro de dicha remocin para
guardar una pista de auditoria;
c) todos los medios se deberan almacenar a
salvo en un entorno seguro, de
acuerdo con las especificaciones de los
fabricantes;
d) la informacin almacenada en el medio,
que requiere estar disponible mayor
tiempo que el tiempo de vida del medio (en
concordancia con las especificaciones del
productor) debe ser tambin almacenada
con el fin de no perder dicha informacin
debido al deterioro del medio;
e) el registro de los medios removibles debe
ser considerado para limitar la
oportunidad de perdida de datos;
f) los medios removibles deben ser solo
activados si existe una razn de negocio
para hacerlo.

Se deberan considerar los siguientes


puntos:
a) los medios que contengan informacin
sensible se almacenarn y eliminarn de
forma segura, por ejemplo, incinerndolos,
triturndolos o vaciando sus datos para
usarlos en otra aplicacin dentro de la
10.7.2 Eliminacion de medios INEXISTENTE GESTIONADO
organizacin;
b) los procedimientos deben permitir
identificar los tems que puedan requerir un
dispositivo de seguridad;

34 de 67
ID CONTROL CONTROL ESTADO INICIAL ESTADO DESTINO ACCIONES REQUERIDAS
c) puede ser ms fcil recoger y eliminar con
seguridad todos los tipos de medios
que intentar separar los que contienen
informacin sensible;
d) muchas organizaciones ofrecen servicios
de recojo y eliminacin de papel,
equipos y medios. Debera cuidarse la
seleccin de los proveedores adecuados
segn su experiencia y lo satisfactorio de los
controles que adopten;
e) se debera registrar la eliminacin de
elementos sensibles donde sea posible
para mantener una pista de auditoria.

Se deberan establecer procedimientos de


manipulacin y almacenamiento de la
informacin de forma coherente con su
clasificacin (vase el inciso 7.2). Los
siguientes tems deben ser considerados:
a) etiquetado en la administracin de todos
los medios;
b) restricciones de acceso para identificar al
personal no autorizado;
c) mantenimiento de un registro formal de
recipientes autorizados de datos;
d) aseguramiento de que los datos de
entrada, su proceso y la validacin de la
10.7.3 Procedimiento de tratamiento de la informacin DEFINIDO GESTIONADO salida estn completos;
e) proteccin de los datos que estn en cola
para su salida en un nivel coherente
con su criticidad;
f) almacenamiento de los medios en un
entorno acorde con las especificaciones
del fabricante;
g) minimizar la distribucin de datos;
h) identificacin clara de todas las copias de
datos para su atencin por el

35 de 67
ID CONTROL CONTROL ESTADO INICIAL ESTADO DESTINO ACCIONES REQUERIDAS
receptor
autorizado;
i) revisin de las listas de distribucin y de
receptores autorizados a intervalos
regulares.
Para proteger la documentacin de sistemas
de accesos no autorizados se deberan
considerar lo siguiente:
a) la documentacin de sistemas se debera
almacenar con seguridad;
b) la lista de acceso a la documentacin de
sistemas se debera limitar al mximo,
10.7.4 Seguridad de la documentacin del sistema INEXISTENTE GESTIONADO y ser autorizada por el propietario de la
aplicacin;
c) la documentacin de sistemas mantenida
en una red pblica, o suministrada va
una red pblica, se debera proteger
adecuadamente.

a) los procedimientos designados para


proteger la informacin intercambiada de
una intercepcin, copiado, modificacin,
cambio de ruta y destruccin;
b) los procedimientos para la deteccin y
proteccin contra cdigo malicioso que
puede ser transmitido a travs del uso de
comunicacin electrnica (vase el inciso
Polticas y procedimientos de intercambio de informacin y 10.4.1);
10.8.1 INEXISTENTE GESTIONADO
software c) los procedimientos para proteger
informacin electrnica sensible que esta en
forma de archivo adjunto;
d) (DETALLES EN LA NTP)

Los acuerdos de intercambio deben


considerar las siguientes condiciones de
seguridad:
10.8.2 Acuerdos de intercambio GESTIONADO GESTIONADO
a) las responsabilidades de la gerencia para
controlar y notificar la transmisin,

36 de 67
ID CONTROL CONTROL ESTADO INICIAL ESTADO DESTINO ACCIONES REQUERIDAS
despacho y recibo;
b) procedimientos para notificar al que enva
la transmisin, despacho o recibo;
c) procedimientos para asegurar al
trazabilidad y la no reproduccin;
d) estndares tcnicos mnimos para
empacado y transmisin;
e) acuerdos de fideicomiso;
f) estndares de identificacin de
mensajera;
g) responsabilidades en los eventos de los
incidentes de la seguridad de
informacin como la perdida de datos;
h)(DETALLES EN LA NTP)

La informacin puede ser vulnerable a


accesos no autorizados, a mal uso o a
corrupcin durante su transporte fsico. Se
deberan aplicar los siguientes controles y
medidas para salvaguardar los medios
informticos transportados entre sedes:
a) deberan usarse transportes o mensajeros
fiables;
b) debera convenirse entre las gerencias
una lista de mensajeros autorizados.;
c) se debera realizar un procedimiento para
comprobar la identificacin de los
mensajeros utilizados;
d) el envase debera ser suficiente para
10.8.3 Medios fsicos en transito GESTIONADO GESTIONADO proteger el contenido contra cualquier
dao fsico que pueda ocurrir durante el
trnsito, de acuerdo con las
especificaciones de los fabricantes, por
ejemplo protegindonos contra cualquier
factor ambiental que pueda reducir la
efectividad de la restauracin del medio
como una exposicin al calor, humedad o a
campos electromagnticos;
e) deberan adoptarse controles especiales
para proteger la informacin sensible de
la divulgacin o

37 de 67
ID CONTROL CONTROL ESTADO INICIAL ESTADO DESTINO ACCIONES REQUERIDAS
modificacin no autorizadas

Las consideraciones de seguridad para la


mensajera electrnica deberan incluir lo
siguiente:
a) proteccin de mensajes de accesos no
autorizados, modificaciones o negacin
del servicio;
b) asegurar una direccin y un transporte
correcto del mensaje;
c) confiabilidad y disponibilidad general del
servicio;
d) consideraciones legales, por ejemplo los
10.8.4 Seguridad en la mensajeria electronica INICIADO GESTIONADO
requisitos para firmas electrnicas;
e) obtencin de aprobacin antes de utilizar
servicios externos pblicos como
mensajera instantnea o archivos
compartidos;
f) niveles mas fuertes de autentificacin del
acceso de control de redes publicas
accesibles.

Las consideraciones dadas a la seguridad e


implicaciones de seguridad de interconectar
dichas instalaciones, deben incluir:
a) vulnerabilidades conocidas en los
sistemas de administracin y contabilidad
donde la informacin es compartida por
diferentes partes de la organizacin;
b) vulnerabilidades de informacin en
sistemas de comunicacin de negocios,
10.8.5 Sistemas de informacin del negocio INICIADO GESTIONADO como el grabado de llamadas telefnicas o
de conferencia, las llamadas confidenciales,
el almacenamiento de faxes, el correo
abierto, la distribucin de correo;
c) polticas y controles apropiados para
manejar informacin compartida;

38 de 67
ID CONTROL CONTROL ESTADO INICIAL ESTADO DESTINO ACCIONES REQUERIDAS
Las consideraciones de seguridad para el
comercio electrnico debe incluir lo
siguiente:
a) el nivel de confidencia que cada parte
requiere en la identidad demanda;
b) los procesos de autorizacin asociados
con el que puede designar los precios,
ediciones o firmas en los documentos de
negocio;
c) asegurar que los socios de negocio se
encuentran totalmente informados de sus
autorizaciones;
d) determinar los requerimientos de
10.9.1 comercio electrnico GESTIONADO GESTIONADO
confidencialidad, integridad, prueba de
despacho y recepcin de los documentos
clave y la no negacin de contratos, como
por ejemplo los que estn asociados con los
procesos de ofrecimiento y contrato;
e) el nivel de confianza requerido en la
integridad de las listas de precio
anunciadas;
f(VER NTP)

a) el uso de firmas electrnicas por cada una


de las partes envueltas en la
transaccin;
b) los medios de comunicacin entre todas
las partes implicadas deben ser
cifrados;
c) los protocolos utilizadas para comunicarse
entre todas las partes debe ser
seguro;
10.9.2 Transacciones en linea DEFINIDO GESTIONADO
d) asegurar que el almacenamiento de los
detalles de la transaccin estn
localizados fuera de cualquier ambiente
publico, como en un plataforma de
almacenamiento existente en el Intranet de
la organizacin, y que no sea retenida ni

39 de 67
ID CONTROL CONTROL ESTADO INICIAL ESTADO DESTINO ACCIONES REQUERIDAS
expuesta en un medio de almacenamiento al
que se puede acceder por Internet;
e) cuando una autoridad confiable sea
usada (para propsitos de publicar o
mantener firmas digitales y/o certificados
digitales) la seguridad es integrada a travs
de todo proceso de gestin del
certificado/firma.

Los sistemas de publicacin electrnicos


deben ser controlados cuidadosamente,
especialmente los que permiten
retroalimentacin e ingreso directo de la
informacin, con el fin de que:
a) la informacin obtenida concuerde con
cualquier legislacin de proteccin de
datos (vase el inciso 15.1.4);
b) el ingreso y procesamiento de informacin
en el sistema ser procesado
completamente y actualizado a tiempo;
10.9.3 Informacin pblicamente disponible DEFINIDO GESTIONADO
c) la informacin sensible ser protegida
durante la recoleccin, procesamiento y
almacenamiento;
d) el acceso al sistema pblico no permite el
ingreso involuntario a redes a las que
el sistema se encuentre conectado.

Los registros de auditoria deben incluir,


cuando sea relevante:
a) identificaciones de usuarios;
b) fecha y hora de conexin y desconexin;
c) identidad del terminal o locacin si es
posible;
10.10.1 Registro de auditoria GESTIONADO GESTIONADO
d) registros de xito y fracaso de los intentos
de acceso al sistema;
e) registros de xito o fracaso de datos y de
otros intentos de acceso a recursos;

40 de 67
ID CONTROL CONTROL ESTADO INICIAL ESTADO DESTINO ACCIONES REQUERIDAS
f) cambios en la configuracin del sistema;
g) uso de privilegios;
h) uso de las instalaciones y aplicaciones del
sistema;
i) archivos accesados y el tipo de acceso;
j) direcciones de red y protocolos;

a) acceso autorizado
b) todas las operaciones privilegiadas
c) intentos de acceso no autorizado
d) alertas o fallas del sistema
10.10.2 Monitoreando el uso del sistema GESTIONADO GESTIONADO e) cambios o intentos de cambio a la
configuracin y controles de los sistemas de
seguridad.

Los controles deben proteger contra


cambios no autorizados y problemas
operacionales con la instalacin de registro
incluyendo:
a) alteraciones a los tipos de mensaje que
son grabados;
b) archivos de registro editados o
10.10.3 Proteccin de los registros de informacin. DEFINIDO GESTIONADO eliminados;
c) la capacidad de almacenamiento del
medio del archivo de registro que ha sido
excedido, resultando en la falla de los
eventos almacenados o la sobre escritura de
eventos pasados.

Los registros deben incluir:


a) el tiempo en el que ocurri el evento
(xito o fracaso);
b) informacin acerca del evento o fallas;
10.10.4 Registro de operaciones y administracin DEFINIDO GESTIONADO
c) que cuenta y que administrador u
operador fue implicado;
d) que procesos fueron implicados;

Las averas reportadas por usuarios o por


programas del sistema relacionados con
10.10.5 Registro de fallos DEFINIDO GESTIONADO
problemas en el procesamiento o
comunicacin de la
41 de 67
ID CONTROL CONTROL ESTADO INICIAL ESTADO DESTINO ACCIONES REQUERIDAS
informacin, deben ser registradas. Deben
existir
reglas claras para maniobrar las averas
reportadas incluyendo:
a) revisin de los registros de averas para
asegurar que las fallas han sido
resueltas satisfactoriamente;
b) revisin de las medidas correctivas para
asegurar que los controles no han sido
comprometidos y que la accin realizada es
totalmente autorizada.

Donde una computadora o un dispositivo de


comunicacin tenga la capacidad de operar
con un reloj en tiempo real, este reloj debe
ser instalado con un estndar acordado,
como el Tiempo Coordinado Universal o un
estndar local de tiempo. Debido a que
10.10.6 Sincronizacin del reloj GESTIONADO GESTIONADO
muchos relojes son conocidos por variar en
el tiempo, debe existir un procedimiento que
verifique y corrija cualquier variacin
significativa.

Se debera contemplar lo siguiente:


a) requisitos de seguridad de cada
aplicacin de negocio individualmente;
b) identificacin de toda la informacin
relativa a las aplicaciones y los riesgos
que la informacin esta enfrentando;
c) polticas para la distribucin de la
informacin y las autorizaciones (por
ejemplo, el principio de suministro slo de la
informacin que se necesita conocer y los
11.1.1 Polticas de control de acceso GESTIONADO GESTIONADO
niveles de seguridad para la clasificacin de
dicha informacin) (vase el inciso 7.2);
d) coherencia entre las polticas de control
de accesos y las polticas de
clasificacin de la informacin en los
distintos sistemas y redes;
e) legislacin aplicable y las obligaciones
contractuales respecto a la proteccin

42 de 67
ID CONTROL CONTROL ESTADO INICIAL ESTADO DESTINO ACCIONES REQUERIDAS
del acceso a los datos o servicios (vase el
inciso 15.1);
f) perfiles de acceso de usuarios
estandarizados segn las categoras
comunes de
trabajos;
g) administracin de los derechos de acceso
en un entorno distribuido en red que
reconozca todos los tipos disponibles de
conexin;
h) segregacin de los roles de control de
acceso, como el pedido de acceso,
autorizacin de acceso, administracin de
accesos;
i) requerimientos para la autorizacin formal
de los pedidos de acceso (vase el
inciso 11.2.1);
j) requerimientos para la revisin peridica
de los controles de acceso (vase el
inciso 11.2.4);
k) retiro de los derechos de acceso (vase el
inciso 8.3.3).

Se debera controlar el acceso a los


servicios de informacin multiusuario
mediante un
proceso formal de registro que debera
incluir:
a) la utilizacin de un identificador nico
para cada usuario, de esta forma puede
vincularse a los usuarios y
responsabilizarles de sus acciones. Se
11.2.1 Registro de usuario DEFINIDO GESTIONADO debera permitir el uso de identificadores de
grupo cuando sea conveniente para el
desarrollo del trabajo y estos deben ser
aprobados y documentados;
b) la comprobacin de la autorizacin del
usuario por el propietario del servicio
para utilizar el sistema o el servicio de

43 de 67
ID CONTROL CONTROL ESTADO INICIAL ESTADO DESTINO ACCIONES REQUERIDAS
informacin. Tambin puede ser
conveniente que la gerencia apruebe por
separado los derechos de acceso;
c)(DETALLES EN LA NTP)
Se debera controlar la asignacin de
privilegios por un proceso formal de
autorizacin en los sistemas multiusuario.
Se deberan considerar los pasos siguientes:
a) identificar los privilegios asociados a cada
elemento del sistema, por ejemplo,
el sistema operativo, el sistema gestor de
base de datos y cada aplicacin; as como
las categoras de empleados que necesitan
de ellos;
b) asignar privilegios a los individuos segn
11.2.2 Gestin de privilegios DEFINIDO GESTIONADO los principios de necesidad de su
uso y caso por caso y en lnea con la
poltica de control de acceso (vase el inciso
11.1.1), por ejemplo, el requisito mnimo
para cumplir su funcin slo cuando se
necesite;
c) (DETALLES NTP)

El proceso debe incluir los siguientes


requisitos:
a) requerir que los usuarios firmen un
compromiso para mantener en secreto sus
contraseas personales y las compartidas
por un grupo slo entre los miembros de ese
grupo (compromiso que podra incluirse en
los trminos y condiciones del contrato de
11.2.3 Gestin de contraseas del usuario DEFINIDO GESTIONADO empleo, vase el inciso 8.1.3);
b) proporcionar inicialmente una contrasea
temporal segura (vase el inciso
11.3.1) que forzosamente deben cambiar
inmediatamente despus;
c) establecer procedimientos para

44 de 67
ID CONTROL CONTROL ESTADO INICIAL ESTADO DESTINO ACCIONES REQUERIDAS
verificar la identidad de un usuario antes de
proveer una contrasea nueva, de
reemplazo o temporal;

La revisin de los derechos de acceso de


usuario debera considerar las siguientes
pautas:
a) revisar los derechos de acceso de los
usuarios a intervalos de tiempo regulares
(se recomienda cada seis meses) y despus
de cualquier cambio como promocin,
degradacin o termino del empleo (vase el
inciso 11.2.1);
b) los derechos de acceso de los usuarios
deben ser revisados y reasignados
cuando se traslade desde un empleo a otro
dentro de la misma organizacin;
c) revisar ms frecuentemente (se
recomienda cada tres meses) las
11.2.4 Revisin de derechos de acceso de usuario INEXISTENTE GESTIONADO
autorizaciones
de derechos de acceso con privilegios
especiales (vase el inciso 11.2.2);
d) comprobar las asignaciones de privilegios
a intervalos de tiempo regulares para
asegurar que no se han obtenido privilegios
no autorizados;
e) los cambios en las cuentas privilegiadas
deben ser registradas para una revisin
peridica.

Todos los usuarios deberan ser informados


acerca de:
a) mantener la confidencialidad de las
contraseas;
b) evitar guardar registros (papel, archivos
11.3.1 Uso de contraseas INICIADO GESTIONADO
de software o dispositivos) de las
contraseas, salvo si existe una forma
segura de hacerlo y el mtodo de
almacenamiento ha sido aprobado;

45 de 67
ID CONTROL CONTROL ESTADO INICIAL ESTADO DESTINO ACCIONES REQUERIDAS
c) cambiar las contraseas si se tiene algn
indicio de su vulnerabilidad o de la
del sistema;
d) seleccionar contraseas de buena
calidad, con una longitud mnima caracteres.

Todos los usuarios y proveedores de


servicios deberan conocer los requisitos de
seguridad y los procedimientos para
proteger los equipos desatendidos, as como
sus responsabilidades para implantar dicha
proteccin. Se les debera recomendar:
a) cancelar todas las sesiones activas antes
de marcharse, salvo si se dispone de
una herramienta de bloqueo general, por
ejemplo, una contrasea para protector de
pantalla;
b) desconectar (log-off) los servidores o los
11.3.2 Equipo de usuario desatendido GESTIONADO GESTIONADO computadores centrales cuando se ha
terminado la sesin (y no slo apagar el
terminal o el computador personal);
c) proteger el terminal o el puesto de trabajo
cuando no estn en uso con un
bloqueador de teclado o una medida similar,
por ejemplo, una contrasea de acceso
(vase el inciso 11.3.3).

a) la informacin critica o sensible del


negocio (papel o medios electrnicos de
almacenamiento) debe ser asegurada (seria
ideal un caja fuerte, gavetas u otras formas
de muebles de seguridad) cuando no sea
requerido, especialmente cuando la oficina
11.3.3 Poltica de pantalla y escritorio limpio GESTIONADO GESTIONADO
este vaca;
b) los computadores y terminales deben ser
apagados o protegidos con un

46 de 67
ID CONTROL CONTROL ESTADO INICIAL ESTADO DESTINO ACCIONES REQUERIDAS
mecanismo de proteccin de pantalla o de
teclado controlado por contrasea u otro
mecanismo de autentificacin, cuando estas
se encuentren desatendidos y deben ser
protegidas por cerraduras clave,
contraseas u otro tipo de control cuando no
sean
utilizados;
c) los puntos salientes o entrantes de correo
y los faxes desatendidos deben ser
protegidos;
d) debe ser prevenido el uso no autorizado
de fotocopiadoras y otras tecnologas
de reproduccin como scanner o cmaras
digitales;
e) los documentos que contienen
informacin sensible y clasificada deben ser
removidos de las impresoras de inmediato.

Se debera formular la poltica de uso de las


redes y los servicios de la red, que es
conveniente que cubra:
a) las redes y los servicios de la red a los
que se puede acceder;
b) los procedimientos de autorizacin para
determinar quin puede acceder a qu
redes y a qu servicios de la red;
c) los controles y procedimientos de gestin
para proteger el acceso a las
11.4.1 Poltica de uso de los servicios de red INICIADO GESTIONADO
conexiones de las redes y a los servicios de
la red;
d) los medios usados para el acceso y los
servicios de red (las condiciones para
permitir el acceso por discado al proveedor
de servicio de Internet o a un sistema
remoto).

47 de 67
ID CONTROL CONTROL ESTADO INICIAL ESTADO DESTINO ACCIONES REQUERIDAS
La poltica debera ser coherente con la
poltica de control de accesos de la
organizacin (vase el inciso 11.1).

La autentificacin de usuarios remoto puede


realizarse utilizando, por ejemplo, una
tcnica basada en criptografa, smbolos de
hardware o un protocolo de
desafo/respuesta. Se pueden encontrar
posibles implementaciones de dichas
11.4.2 Autentificacin de usuario para conexiones eternas GESTIONADO GESTIONADO
tcnicas en varias soluciones de redes
privadas virtuales. Tambin se pueden
utilizar lneas privadas dedicadas, con el fin
de proveer aseguramiento en la fuente de
conexiones.

La identificacin de equipos puede ser


utilizada si es importante que las
comunicaciones puedan ser iniciadas desde
un local y equipo especifico. Un identificador
dentro o adjunto al equipo puede ser
utilizado para indicar si el equipo esta
autorizado para conectarse a la red.
Estos identificadores deben identificar
11.4.3 Identificacin de equipo en las redes GESTIONADO GESTIONADO claramente a que redes se pueden conectar
los equipos, si existe ms de una red y
particularmente si estas redes son de
sensibilidad diferida. Puede ser necesario
considerar proteccin fsica del equipo con
el fin de mantener la seguridad de los
identificadores del equipo.

Los puertos, servicios e instalaciones


similares instaladas en una computadora o
instalacin de computo que no son
Diagnostico remoto y configuracin de la proteccin de
11.4.4 INICIADO GESTIONADO requeridas especficamente para la
puerto
funcionalidad del negocio, debe ser
inhabilitado o removido.

Un mtodo para controlar la seguridad de


grandes redes es dividirlas en dominios
11.4.5 Segregacin de redes GESTIONADO GESTIONADO
lgicos separados (por ejemplo dominios de
redes internas a
48 de 67
ID CONTROL CONTROL ESTADO INICIAL ESTADO DESTINO ACCIONES REQUERIDAS
la organizacin o de redes externas), cada
uno protegido por un permetro
GESTIONADO de seguridad. Se puede
aplicar un conjunto graduado de controles
en diferentes dominios de redes lgicas para
segregar a futuro los ambientes de
seguridad de red, como por ejemplo
sistemas pblicos accesibles, redes internas
y activos crticos. Los dominios deben ser
GESTIONADOs basados en una evaluacin
de riesgos y los diferentes requisitos de
seguridad entre cada uno de los dominios.

La capacidad de conexin de los usuarios


pueden ser restringido a travs de entradas
que filtren el trafico por medio de tablas o
reglas pre definidas. Algunos ejemplos de
aplicaciones a las cuales las que se debe
11.4.6 Control de la conexin de red DEFINIDO GESTIONADO aplicar las restricciones son:
a) correo electrnico;
b) transferencia de archivos;
c) acceso interactivo;
d) acceso a la aplicacin.

Los controles del enrutamiento podran


basarse en mecanismos positivos de
verificacin de las direcciones de origen y
destino de los mensajes. Las salidas pueden
ser utilizadas para validar la fuente y los
destinos de los mensajes en
puntos de control de redes internas o
externas si se utilizan tecnologas de
11.4.7 Control del direccionamiento de red INICIADO GESTIONADO conversin u oto tipo de herramienta similar.
Su implementacin debera tener en cuenta
la robustez de los propios mecanismos
empleados. Los requisitos para el
enrutamiento de los controles deben estar
basados en la poltica de control de accesos
(vase el inciso 11.1).

Se debera disear un procedimiento para


11.5.1 Procedimientos de conexion de terminales INEXISTENTE GESTIONADO conectarse al sistema informtico que
minimice la posibilidad de accesos
49 de 67
ID CONTROL CONTROL ESTADO INICIAL ESTADO DESTINO ACCIONES REQUERIDAS
no autorizados. Por tanto, el proceso de
conexin debera mostrar el mnimo posible
de informacin sobre el sistema para no
facilitar ayuda innecesaria a usuarios no
autorizados. Un buen procedimiento de
conexin debera:
a) no mostrar identificacin del sistema o
aplicacin hasta que termine el proceso
de conexin;
b) mostrar un mensaje que advierta la
restriccin de acceso al sistema slo a
usuarios autorizados;
c) no ofrecer mensajes de ayuda durante el
proceso de conexin que puedan guiar
a usuarios no autorizados;

Este control debe ser aplicado para todos


los tipos de usuario (incluidos los
administradores de red y de bases de datos,
los programadores de sistemas y el personal
tcnico de apoyo).
Los ID de los usuarios deben ser utilizados
para seguir la pista de las actividades de
cada responsable individual. Las actividades
regulares del usuario no deben ser
realizadas desde cuentas privilegiadas.
11.5.2 Identificacin y autentificacin de usuario DEFINIDO GESTIONADO En circunstancias excepciona1es que se
justifiquen por sus ventajas pueden usarse
identificadores de usuario compartidos para
un grupo de usuarios o un trabajo
especfico. En estos casos se debera
necesitar la aprobacin escrita de la
gerencia. Puede necesitarse la implantacin
de controles adicionales para la
responsabilidad.

Un buen sistema de gestin de contraseas


debera:
a) imponer el uso de contraseas
11.5.3 Sistema de gestin de contraseas DEFINIDO GESTIONADO
individuales con el fin de establecer
responsabilidades;
b) permitir que los usuarios escojan sus
50 de 67
ID CONTROL CONTROL ESTADO INICIAL ESTADO DESTINO ACCIONES REQUERIDAS
contraseas, las cambien e incluyan un
procedimiento de confirmacin para evitar
errores al introducirlas;
c) imponer la seleccin de contraseas de
calidad (vase el inciso 11.3.1);
d) imponer el cambio de contraseas (vase
el inciso 11.3.1);
e) imponer el cambio de contraseas
iniciales en la primera conexin (vase el
inciso 11.2.3);

Las siguientes pautas deberan ser


consideradas:
a) usar procedimientos de autenticacin,
identificacin y autorizacin para las
facilidades del sistema;
b) separar las facilidades del sistema de las
11.5.4 Uso de los recursos del sistema INICIADO GESTIONADO
aplicaciones de software;
c) limitar el uso de las facilidades del
sistema al mnimo nmero de usuarios
autorizados y fiables (vase tambin 11.2.2);

Este dispositivo de desactivacin debera


borrar la pantalla y cerrar la aplicacin y las
sesiones de conexin a red tras dicho
periodo GESTIONADO de inactividad. El
tiempo de
desactivacin debera reflejar los riesgos de
11.5.5 Desconexion automatica de sesiones DEFINIDO GESTIONADO seguridad del rea, la clasificacin de la
informacin que se maneja, las aplicaciones
que se utilizan y los riesgos relacionados
con los usuarios de lo equipos.

Estas medidas de control se deberan


emplear para aplicaciones sensibles, en
especial para terminales instalados en reas
de alto riesgo, las pblicas o no cubiertas
11.5.6 Limitacin de tiempo de conexin DEFINIDO GESTIONADO
por la gestin de seguridad de la
organizacin. Restricciones como por
ejemplo:
a) el uso de ventanas de tiempo
51 de 67
ID CONTROL CONTROL ESTADO INICIAL ESTADO DESTINO ACCIONES REQUERIDAS
predeterminadas, por ejemplo para
transmisiones de archivos en batch, o para
sesiones interactivas regulares de corta
duracin;
b) la restriccin de tiempos de conexin al
horario normal de oficina, si no existen
requisitos para operar fuera de este horario;
c) considerar la re-autentificacin en
intervalos medidos.

Deberan considerarse las siguientes pautas


para dar soporte a los requisitos de
restriccin de accesos:
a) establecer mens para controlar los
accesos a las funciones del sistema de
aplicaciones;
11.6.1 Restriccin de acceso a la informacin INICIADO GESTIONADO
b) controlar los derechos de acceso de los
usuarios, por ejemplo lectura, escritura,
borrado, ejecucin;
c) controlar los derechos de acceso de otras
aplicaciones;

Algunos sistemas de aplicaciones son tan


sensibles a posibles prdidas que pueden
necesitar un tratamiento especial, que
corran en un procesador dedicado, que slo
compartan recursos con otros sistemas de
aplicaciones garantizados o que no tengan
limitaciones. Las consideraciones siguientes
son aplicables para el aislamiento de
sistemas sensibles:
a) el propietario de la aplicacin debera
11.6.2 Aislamiento del sistema sensible DEFINIDO GESTIONADO
indicar explcitamente y documentar la
sensibilidad de sta (vase el inciso 7.1.2);
b) cuando una aplicacin sensible se ejecute
en un entorno compartido, se
deberan identificar y acordar con su
propietario los sistemas de aplicacin con
los que compartan recursos.

52 de 67
ID CONTROL CONTROL ESTADO INICIAL ESTADO DESTINO ACCIONES REQUERIDAS
Se debera tener un especial cuidado para
asegurar que la informacin de negocio no
se comprometa cuando se usan dispositivos
de informtica mvil como porttiles,
agendas, calculadoras y telfonos mviles.
11.7.1 Informatica movil y comunicaciones GESTIONADO GESTIONADO Se debera formalizar una poltica que tenga
en cuenta los riesgos de trabajar con
dispositivos de informtica mvil,
especialmente en entornos desprotegidos.

Se debera considerar lo siguiente:


a) la seguridad fsica real del lugar de
teletrabajo, teniendo en cuenta la del
edificio y la de su entorno local;
b) el entorno de teletrabajo propuesto;
c) los requisitos de seguridad de las
comunicaciones, teniendo en cuenta la
necesidad de acceso remoto a los sistemas
11.7.2 Teletrabajo DEFINIDO GESTIONADO internos de la organizacin, la criticidad de la
informacin a acceder y el paso por alto del
enlace de comunicacin y de la criticidad del
sistema interno;
d) la amenaza de acceso no autorizado a
informacin y recursos por otras
personas prximas, por ejemplo, la familia o
amigos;

Las especificaciones deberan considerar los


controles automatizados a ser incorporados
en el sistema y la necesidad de controles
manuales de apoyo. Se deberan aplicar
consideraciones similares cuando se
evalen, desarrollen o compren paquetes de
software para aplicaciones de negocio.
Anlisis y especificacin de los requisitos de seguridad
12.1.1 DEFINIDO GESTIONADO Los requisitos y controles de seguridad
deberan reflejar el valor de los activos de
informacin implicados (vase el inciso 7.2)
y el posible dao a la organizacin que
resultara de fallos o ausencia de seguridad.

53 de 67
ID CONTROL CONTROL ESTADO INICIAL ESTADO DESTINO ACCIONES REQUERIDAS
Los controles siguientes deberan ser
considerados:
a) entrada duplicada u otras verificaciones,
como verificacin de fronteras o campos
limitados para especificar los rangos de los
datos de entrada
b) revisin peridica del contenido de los
campos clave o los archivos de datos
para confirmar su validez e integridad;
c) inspeccin de los documentos fsicos de
entrada para ver si hay cambios no
autorizados a los datos de entrada (todos
deberan estar autorizados);
d) procedimientos para responder a los
12.2.1 Validacin de los datos introducidos DEFINIDO GESTIONADO
errores de validacin;
e) procedimientos para comprobar la
integridad de los datos de entrada;
f) definicin de las responsabilidades de
todos los implicados en el proceso de
entrada de datos;
g) creacin de un registro de actividades
envueltas en el procesamiento de los
datos de entrada (vase el inciso 10.10.1).

El diseo de las aplicaciones debera


asegurar la implantacin de restricciones
que minimicen el riesgo de los fallos del
proceso con prdidas de integridad. Areas
de riesgo especficas a considerar seran:
a) el uso en los programas de funciones
aadir y borrar para cambiar los datos;
b) los procedimientos para evitar programas
12.2.2 Control del procesamiento interno INICIADO GESTIONADO
que corran en orden equivocado o
despus del fallo de un proceso anterior
(vase el inciso10.1.1);
c) el uso de programas correctos de
recuperacin despus de fallas para

54 de 67
ID CONTROL CONTROL ESTADO INICIAL ESTADO DESTINO ACCIONES REQUERIDAS
asegurar el proceso correcto de los
datos;
d) la proteccin contra ataques utilizando
corridas o desbordes de buffers.

La validacin de salidas puede incluir:


a) validaciones de verosimilitud para
comprobar que los datos de salida son
razonables;
b) cuentas de control de conciliacin para
asegurar el proceso de todos los datos;
c) suministro de suficiente informacin al
lector o a un sistema de proceso
subsiguiente para poder determinar la
exactitud, completitud, precisin y
clasificacin
12.2.4 Validacin de los datos de salida DEFINIDO GESTIONADO de la informacin;
d) procedimientos para contestar los
cuestionarios de validacin de salidas;
e) definicin de las responsabilidades de
todos los implicados en el proceso de
salida de datos;
f) creacin de un registro de actividades en
el proceso de validacin de los datos
de salida.

a) un enfoque de gestin del uso de las


medidas criptogrficas a travs de la
organizacin, incluyendo los principios
generales en base a los cuales se debera
proteger la informacin del negocio (vase el
inciso 5.1.1);
b) basados en la evaluacin de riesgos, el
nivel requerido de proteccin debe ser
12.3.1 Poltica acerca del uso de controles criptogrficos INICIADO GESTIONADO
identificado tomando en cuenta el tipo,
fuerza y calidad del algoritmo cifrado
requerido;
c) el uso de cifrado para la proteccin de
informacin sensible transportada en

55 de 67
ID CONTROL CONTROL ESTADO INICIAL ESTADO DESTINO ACCIONES REQUERIDAS
medios o dispositivos mviles o removibles y
en las lneas de comunicacin;

El sistema de gestin de claves se debera


basar en un conjunto acordado de normas,
procedimientos y mtodos seguros para:
a) generar claves para distintos sistemas
criptogrficos y distintas aplicaciones;
b) generar y obtener certificados de clave
pblica;
c) distribuir claves a los usuarios previstos,
12.3.2 Gestin de las claves INICIADO GESTIONADO incluyendo la forma de activar y
recibir las claves;
d) almacenar claves, incluyendo la forma de
obtencin de acceso a las claves por
los usuarios;

Para minimizar el riesgo de corrupcin


deberan considerarse los siguientes
controles:
a) la actualizacin de las libreras de
programas operativos slo se debera
realizar
por el administrador capacitado previa
autorizacin de la gerencia (vase el inciso
12.4.3);
b) los sistemas operativos deberan tener
slo cdigo ejecutable y no desarrollo de
12.4.1 Control del software en produccion DEFINIDO GESTIONADO cdigo o compiladores;
c) no se debera implantar cdigo ejecutable
en un sistema operativo mientras no
se tenga evidencia del xito de las pruebas,
la aceptacin del usuario y la actualizacin
de las libreras de programas fuente. Deben
ser realizadas en un sistema separado
(vase el inciso 10.1.4);

56 de 67
ID CONTROL CONTROL ESTADO INICIAL ESTADO DESTINO ACCIONES REQUERIDAS
Se deberan aplicar los controles y medidas
siguientes para proteger los datos de
produccin cuando se usen para pruebas:
a) los procedimientos de control de acceso
que se consideran para las aplicaciones
del sistema operacional se deberan utilizar
tambin en los sistemas de aplicaciones en
prueba;
b) se debera autorizar por separado cada
vez que se copie informacin operativa
12.4.2 Proteccin de los datos de prueba del sistema INEXISTENTE GESTIONADO a un sistema de aplicacin en prueba;
c) se debera borrar la informacin operativa
de la aplicacin del sistema en
prueba en cuanto sta se complete;
d) se debera registrar la copia y uso de la
informacin operativa a efectos de
seguimiento para auditoria.

a) si es posible, las libreras de programas


fuentes no deberan residir en los
sistemas operativos;
b) el cdigo y librera de programas fuente
debe ser maniobrado de acuerdo a
procedimientos establecidos;
c) el personal de apoyo informtico no
debera tener libre acceso, sin restriccin,
a las libreras de programas fuentes;
d) la actualizacin de libreras de programas
y la entrega de programas a los
12.4.3 Control de acceso al cdigo fuente de los programas INEXISTENTE GESTIONADO programadores se debera realizar slo por
el responsable con autorizacin del gerente
de soporte informtico para la aplicacin;
e) los listados de programas se deberan
mantener en un entorno seguro (vase el
inciso10.7.4);

57 de 67
ID CONTROL CONTROL ESTADO INICIAL ESTADO DESTINO ACCIONES REQUERIDAS
f) se debera mantener un registro de
auditoria de todos los accesos a las libreras
de programas fuentes;
g) el mantenimiento y copia de las libreras
de programas fuente debera estar
sujeta a procedimientos estrictos de control
de cambios (vase el inciso 12.5.1).

La aplicacin y sus procedimientos de


control de cambios deberan estar
integrados siempre que sea posible (vase
el inciso 10.1.2). Este proceso debera
incluir:
a) el mantenimiento de un registro de los
niveles de autorizacin acordados;
b) la garanta de que los cambios se realizan
por usuarios autorizados;
c) la revisin de los controles y los
12.5.1 Procedimientos de control de cambios INEXISTENTE GESTIONADO
procedimientos de integridad para
asegurarse
que los cambios no los debilitan;
d) la identificacin de todo el software,
informacin, entidades de bases de datos
y hardware que requiera mejora;
e) la obtencin de la aprobacin formal para
propuestas detalladas antes de
empezar el trabajo;

Este proceso debera cubrir:


a) la revisin de los procedimientos de
control de la aplicacin y de la integridad
para asegurar que los cambios en el sistema
operativo no han sido comprometidos;
b) la garanta de que el plan de soporte
Revisin tcnica de las aplicaciones tras efectuar cambios anual y el presupuesto cubren las
12.5.2 INICIADO GESTIONADO
en el sistema operativo revisiones y las pruebas del sistema que
requieran los cambios del sistema operativo;
c) la garanta de que la modificacin de los
cambios del sistema operativo se

58 de 67
ID CONTROL CONTROL ESTADO INICIAL ESTADO DESTINO ACCIONES REQUERIDAS
realiza a tiempo para que puedan hacerse
las revisiones apropiadas antes de su
implantacin;
d) la garanta de que se realizan los cambios
apropiados en los planes de continuidad del
negocio (vase el captulo 14).

Se deberan usar los paquetes de software


suministrados por los proveedores sin
modificacin en la medida que sea posible y
practicable. Cuando haya necesidad de
modificarlos, se deberan considerar los
aspectos siguientes:
a) el riesgo de debilitamiento de las medidas
de control incorporadas y sus
procesos de integridad;
Restricciones de los cambios a los paquetes de software b) la obtencin del consentimiento del
12.5.3 GESTIONADO GESTIONADO
vendedor;
c) la posibilidad de obtener los cambios
requeridos como actualizaciones
normales del programa del vendedor;
d) el impacto causado si la organizacin
adquiere la responsabilidad del
mantenimiento futuro del software como
resultado de los cambios.

Se debe considerar lo siguiente para limitar


el riesgo de fuga de informacin, como por
ejemplo a travs del uso y explotacin de
canales cubiertos:
a) escaneo de medios de salida y
comunicaciones para informacin oculta;
b) sistema de modulacin y enmascarado, y
el comportamiento de las
12.5.4 Fugas de informacin INICIADO GESTIONADO
comunicaciones para reducir la probabilidad
de que un tercero sea capaz de deducir
informacin desde dicho comportamiento;

59 de 67
ID CONTROL CONTROL ESTADO INICIAL ESTADO DESTINO ACCIONES REQUERIDAS
c) haciendo uso de los sistemas y software
que se consideran de alta integridad,
por ejemplo productos evaluados (vase
ISO/IEC 15408);
d) monitoreo regular de las actividades del
personal y del sistema, donde sea
permitido bajo la legislacin o regulacin
existente;
e) monitoreo del uso de recursos en
sistemas de cmputo.

Deberan ser considerados los siguientes


aspectos cuando se externalice el desarrollo
de software:
a) acuerdos bajo licencia, propiedad del
cdigo y derechos de propiedad
intelectual (vase el inciso 15.1.2);
b) certificacin de la calidad y exactitud del
trabajo realizado;
c) acuerdos para hacerse cargo en el caso
12.5.5 Desarrollo externo de software INICIADO GESTIONADO
de fallo de terceros;
d) derechos de acceso para auditar la
calidad y exactitud del trabajo realizado;
e) requisitos contractuales sobre la calidad y
funcionalidad segura del cdigo;
f) pruebas antes de la implantacin para
detectar el cdigo Troyano.

Las siguientes pautas deben seguirse para


establecer un proceso de gestin de
vulnerabilidades tcnicas efectivas:
a) la organizacin debe definir y establecer
los roles y responsabilidades
asociados con la gestin de vulnerabilidades
tcnicas, incluyendo el monitoreo de
12.6.1 Control de las vulnerabilidades tcnicas INICIADO GESTIONADO vulnerabilidades, la evaluacin de la
vulnerabilidad de riesgo, el parchado, el
seguimiento de activos y cualquier otra
responsabilidades coordinadas;
b) los recursos de informacin que se

60 de 67
ID CONTROL CONTROL ESTADO INICIAL ESTADO DESTINO ACCIONES REQUERIDAS
utilizaran para identificar las
vulnerabilidades tcnicas relevantes y para
mantener precaucin sobre ellos se deben
identificar para el software y otras
tecnologas (basadas en el inventario de
activos, vase 7.1.1); estos recursos de
informacin deben ser actualizados basados
en cambios de inventario o cuando un
recurso nuevo o mas til se encuentre;

Todos los empleados, contratistas y terceros


deben ser prevenidos sobre sus
responsabilidades de reportar cualquier
evento en la seguridad de informacin lo
ms rpido posible.
Igualmente, deben ser prevenidos del
procedimiento para reportar dicho evento y
del punto de contacto. Los procedimientos
de reporte deben incluir:
a) procesos de retroalimentacin adecuados
para asegurar que dichos eventos
reportados de la seguridad de informacin
Comunicacin de los eventos de seguridad de la
13.1.1 GESTIONADO GESTIONADO sean notificados de los resultados despus
informacin
de que el tema haya sido repartido y
cerrado;
b) formularios de reporte de eventos en la
seguridad de informacin, con el fin de
apoyar la accin de reporte y para ayudar a
la persona que reporta recordar todas las
acciones necesarias en caso de un evento;

Todos los empleados, contratistas y terceros


deben reportar estas materias a sus
gerencias o directamente al proveedor del
servicio lo ms pronto posible con el fin de
13.1.2 Comunicacin de puntos dbiles de seguridad DEFINIDO GESTIONADO prevenir los incidentes en la seguridad de
informacin. El mecanismo de reporte debe
ser fcil, accesible y disponible como sea
posible. Deben ser

61 de 67
ID CONTROL CONTROL ESTADO INICIAL ESTADO DESTINO ACCIONES REQUERIDAS
informados que por ninguna circunstancia
deben tratar de probar una debilidad
sospechosa.
Las siguientes pautas deben ser
consideradas para los procedimientos en la
gestin de incidentes en la seguridad de
informacin:
a) los procedimientos deben ser
establecidos para maniobrar diferentes tipos
de
13.2.1 Responsabilidades y procedimientos INICIADO GESTIONADO
incidentes en la seguridad de informacin
b) en adicin a los planes de contingencias
normales (vase el inciso 14.1.3), los
procedimientos tambin deben cubrir (vase
el inciso 13.2.2):

La informacin ganada de la evaluacin de


los incidentes en la seguridad de
informacin
Aprendizaje de los incidentes de la seguridad de la
13.2.2 DEFINIDO GESTIONADO deben ser utilizados para identificar
informacin
incidentes que se repiten o de gran impacto.

Los procesos internos deben ser


desarrollados y seguidos cuando se
recolecte y presente evidencia para
propsitos disciplinarios maniobrados dentro
de la organizacin.
En general, las reglas para evidencia
13.2.3 Recopilacin de evidencia INICIADO GESTIONADO
cubren:
a) admisibilidad de evidencia: si es que la
evidencia puede ser utilizada en corte;
b) peso en la evidencia: calidad y lo
completo de la evidencia.

El proceso debera reunir los siguientes


elementos clave de la gestin de continuidad
del negocio:
Inclusin de la seguridad de la informacin en el proceso de a) comprender los riesgos que la
14.1.1 DEFINIDO GESTIONADO
gestin de la continuidad del negocio organizacin corre desde el punto de vista
de su
vulnerabilidad e impacto, incluyendo la
identificacin y priorizacin de los
62 de 67
ID CONTROL CONTROL ESTADO INICIAL ESTADO DESTINO ACCIONES REQUERIDAS
procesos
crticos del negocio (vase el inciso 14.1.2);
b) identificar todos los activos implicados en
los procesos crticos de negocio
(vase el inciso 7.1.1);

La evaluacin del riesgo de continuidad de


negocio debe ser llevada a cabo con una
total implicancia por parte de los propietarios
de los recursos y procesos de negocio.
Debera considerar todos los procesos del
negocio sin limitarse a los dispositivos
informticos, pero debe incluir los resultados
especficos para la seguridad de
informacin. Es importante vincular los
diferentes aspectos de riesgos para obtener
14.1.2 Continuidad del negocio y evaluacin del riesgo INICIADO GESTIONADO una figura completa de los requerimientos
de continuidad de negocio de la
organizacin. La evaluacin debe identificar,
cuantificar y priorizar los riesgos contra
criterios y objetivos relevantes para la
organizacin incluyendo recursos crticos,
impactos de las interrupciones, tiempos
permisibles de interrupcin y prioridades de
recuperacin.

El proceso de planificacin de la continuidad


del negocio debera considerar los
siguientes aspectos:
a) la identificacin de los procedimientos de
emergencia y los acuerdos de todas
las responsabilidades;
b) la identificacin de las prdidas
Desarrollo e implantacin de planes de continuidad que aceptables de informacin y servicios;
14.1.3 DEFINIDO GESTIONADO
incluyan seguridad de la informacin c) la implementacin de procedimientos que
permiten la recuperacin y
restauracin de las operaciones de negocio
y la disponibilidad de informacin en escalas
de tiempo requerido. Se necesita particular

63 de 67
ID CONTROL CONTROL ESTADO INICIAL ESTADO DESTINO ACCIONES REQUERIDAS
atencin para la evaluacin de las
dependencias de negocio externas e
internas y de los contratos vigentes;
Cada plan de continuidad del negocio
debera describir el alcance para la
continuidad, por ejemplo el alcance para
asegurar la seguridad y disponibilidad de la
informacin o de los sistemas de
informacin. Tambin debe especificar
claramente las condiciones para su
activacin, as como las personas
responsables de ejecutar cada etapa del
plan. Cuando se identifiquen nuevos
Marco de referencia para la planificacin de la continuidad requisitos se deberan corregir de forma
14.1.4 INICIADO GESTIONADO
del negocio apropiada los procedimientos de emergencia
establecidos, por ejemplo, los planes de
evacuacin o los contratos de respaldo
existentes. Los procedimientos deben ser
incluidos dentro del programa de gestin de
cambios de la organizacin con el fin de
asegurar que los temas de la continuidad del
negocio sean tratados apropiadamente.

Deberan utilizarse diversas tcnicas para


proporcionar la seguridad de que los planes
funcionarn en la vida real. stas deberan
incluir:
a) la prueba sobre el papel de varios
escenarios (analizando las disposiciones de
Pruebas, mantenimiento y reevaluacin de los planes de recuperacin del negocio con ayuda de
14.1.5 INICIADO GESTIONADO
continuidad de negocio ejemplos de interrupciones);
b) las simulaciones (en particular para
entrenar en sus respectivos papeles al
personal que gestione la crisis tras la
contingencia);

Los controles, medidas y responsabilidades


especficos deben ser similarmente
15.1.1 Identificacin de la legislacin aplicable GESTIONADO GESTIONADO GESTIONADOs y documentados para
cumplir dichos requerimientos.

64 de 67
ID CONTROL CONTROL ESTADO INICIAL ESTADO DESTINO ACCIONES REQUERIDAS

Los controles, medidas y responsabilidades


especficos deben ser similarmente
GESTIONADOs y documentados para
15.1.2 Derechos de propiedad intelectual (DPI) DEFINIDO GESTIONADO
cumplir dichos requerimientos.

Se debera clasificar los registros por tipos:


registros contables, registros de bases de
datos,
registros de transacciones, registros de
auditoria y procedimientos operativos, cada
tipo con los detalles de sus plazos de
retencin y medios de almacenamiento
(papel, microfichas, soporte magntico u
15.1.3 Proteccin de los registros de la organizacin DEFINIDO GESTIONADO ptico). Las claves criptogrficas
relacionadas con archivos cifrados o firmas
digitales (vase el inciso 12.3) se deberan
guardar de forma segura con el fin de
habilitar el decriptado de los registros por el
tamao de tiempo que estos se encuentran
retenidos.

Se debera implementar y desarrollar una


poltica organizacional de privacidad y de
proteccin de datos. Esta poltica debe ser
Proteccin de datos y privacidad de la informacin personal comunicada a todo el personal implicado en
15.1.4 GESTIONADO GESTIONADO
el procesamiento de informacin personal.

La organizacin debera proporcionar


recursos informticos para los fines del
negocio. La gerencia debera autorizar su
uso. Se debera considerar como impropio
todo uso de estos recursos para fines no
Prevencin del uso indebido de las instalaciones de
15.1.5 GESTIONADO GESTIONADO autorizados o ajenos al negocio (vase el
procesamiento de la informacin
inciso 6.1.4). Si dicha actividad se identifica
mediante supervisin y control u otros
medios, se debera poner en conocimiento
del gerente responsable de adoptar la

65 de 67
ID CONTROL CONTROL ESTADO INICIAL ESTADO DESTINO ACCIONES REQUERIDAS
accin disciplinaria y/o legal apropiada.

Los gerentes deben realizar revisiones


regulares que aseguren el cumplimiento de
las polticas y normas de seguridad.
Si se encuentra una no conformidad como
resultado de la revisin, los gerentes deben
de:
a) determinar las causas de la no
conformidad;
15.2.1 Cumplimiento con la poltica y normas de seguridad INICIADO GESTIONADO
b) evaluar la necesidad de acciones para
asegurar que la no conformidad no vuelva a
ocurrir;
c) determinar e implementar una accin
correctiva apropiada;
d) revisar la accin correctiva que se realizo;

La comprobacin de la conformidad tcnica


debera ser realizada manualmente por un
ingeniero de sistemas experimentado (con
apoyo de herramientas lgicas apropiadas si
es necesario), o bien automticamente por
15.2.2 Comprobacin del cumplimiento tcnico DEFINIDO GESTIONADO
un paquete que genere un informe tcnico, a
interpretar posteriormente por el especialista
tcnico.

Se debera observar las siguientes pautas:


a) deberan acordarse los requisitos de
auditoria con la gerencia apropiada;
b) debera acordarse y controlarse el
alcance de las verificaciones;
c) las verificaciones se deberan limitar a
accesos solo de lectura al software y a
Controles de la auditoria de los sistemas de informacin los datos;
15.3.1 INICIADO GESTIONADO
d) otro acceso distinto a solo lectura,
nicamente se debera permitir para copias
aisladas de archivos del sistema, que se
deberan borrar cuando se termine la
auditoria;

66 de 67
ID CONTROL CONTROL ESTADO INICIAL ESTADO DESTINO ACCIONES REQUERIDAS
e) los recursos de tecnologa de la
informacin para realizar verificaciones
deberan ser explcitamente identificados y
puestos a disposicin;
Las herramientas de auditoria de sistemas,
por ejemplo, software o archivos de datos,
deben estar separadas de los sistemas de
desarrollo y de produccin y no se
Proteccin de las herramientas de auditoria de los sistemas
15.3.2 DEFINIDO GESTIONADO mantendrn en libreras de cintas o en reas
de informacin
de los usuarios, salvo que se les
proporcione un nivel apropiado de
proteccin adicional.

67 de 67